Vokietijos kibernetinio saugumo bendrovė „Ernw“ atskleidė rimtų saugumo spragų, aptiktų su „Airoha“ mikroschemomis veikiančiuose „Bluetooth“ ausinėse ir ausinukuose.
Pranešama, kad pažeidžiamumai, pažymėti kaip CVE-2025-20700, CVE-2025-20701 ir CVE-2025-20702, leidžia įsilaužėliams perimti visišką įrenginio valdymą be jokio suporavimo ar autentifikacijos.
Birželio 26 dieną paskelbtoje ataskaitoje „Ernw“ detaliai aprašo pažeidžiamumus, kurie paveikia daugybę populiarių gaminių, nuo „Sony WH-1000XM“ serijos iki „Bose QuietComfort“, „Jabra“, JBL ir kitų žinomų prekių ženklų.
Esminė problema slypi nesaugioje pasirinktiniame ryšio protokole, kuris leidžia bet kam, esant „Bluetooth“ ryšio ribose, pasiekti įrenginį be išankstinio ryšio.
Bandymų metu tyrėjai pademonstravo grėsmingą scenarijų, įsilaužėliai gali perimti ausinių ir telefono ryšį, ištraukdami „Bluetooth“ raktus ir įimituodami naudojamą produktą.
Tokiu būdu galima perimti išmaniojo telefono valdymą naudojant laisvų rankų profilio funkcijas. Kol kas rizika daugumai vartotojų vertinama kaip žema, tokia ataka reikalauja aukšto techninio pasirengimo ir fizinio priėjimo prie įrenginio.
Tačiau padėtis tampa daug rimtesnė, jei taikiniai yra diplomatai, žurnalistai ar įmonių vadovai. „Ernw“ patvirtino pažeidžiamumus šiuose įrenginiuose:
- Sony WH-1000XM4, WH-1000XM5, WH-1000XM6, WH-XB910N, WH-CH520, CH-720N, WI-C100, WF-1000XM3, XM4, XM5, WF-C500, WF-C510-GFP, Link Buds S, ULT Wear
- Bose QuietComfort Earbuds
- Jabra Elite 8 Active
- JBL Endurance Race 2, Live Buds 3
- Beyerdynamic Amiron 300
- Jlab Epic Air Sport ANC
- Marshall Action III, Major V, Minor IV, Motif II, Stanmore III, Woburn III
- Teufel Tatws2
- EarisMax Bluetooth Auracast Sender
- MoerLabs EchoBeatz
„Airoha“ dar birželio pradžioje gamintojams pateikė atnaujintą programinės įrangos kūrimo rinkinį (SDK), tačiau tolimesnė atsakomybė tenka tokiems prekių ženklams kaip „Sony“, „Bose“ ar JBL, kurie turi sukurti ir išplatinti savo programinės įrangos atnaujinimus kiekvienam paveiktam įrenginiui.
Kol kas vartotojams patariama stebėti gamintojų pranešimus apie galimus saugumo atnaujinimus.
