Мільйони навушників можна перетворити на пристрої для підслуховування через уразливість у чипі Bluetooth

20:22, 01.07.2025

Уразливості чипів Bluetooth, які використовуються в десятках бездротових пристроїв, можуть застосовуватися зловмисниками для стеження за жертвами через мікрофони і крадіжки конфіденційної інформації. Про це заявили представники компанії ERNW, що працює у сфері інформаційної безпеки, на конференції з кібербезпеки TROOPERS, що відбулася в Німеччині.

Фахівці виявили три вразливості в чипах компанії Airoha, які широко використовуються в бездротових навушниках, колонках, мікрофонах та інших пристроях. Загалом проблема зачіпає 29 моделей бездротових пристроїв від Beyerdynamic, Bose, Sony, Marshall, Jabra, JBL, JLab, EarisMax, MoerLabs і Teufel. Це означає, що до уразливості схильні мільйони навушників та інших пристроїв по всьому світу.

Усі три вразливості не є критичними, оскільки для їхньої експлуатації потрібні спеціалізовані навички, а також фізична присутність у радіусі дії Bluetooth - тобто на відстані кількох метрів від жертви. Йдеться про вразливості CVE-2025-20700 (відсутність перевірки автентичності для служб GATT), CVE-2025-20701 (відсутність перевірки автентичності при з'єднанні через Bluetooth BR/EDR) і CVE-2025-20702 (вразливість в одному з протоколів виробника).

Хоча вразливості не становлять серйозної небезпеки, їхнє використання може дати змогу зловмисникам перехопити з'єднання між смартфоном і Bluetooth-аудіопристроєм і задіяти профіль Hands-Free Profile для надсилання команд на смартфон. «Діапазон доступних команд залежить від мобільної операційної системи, але всі основні платформи підтримують, принаймні, ініціацію та приймання дзвінків», - йдеться в заяві ERNW.

У компанії додали, що, залежно від конфігурації смартфона, зловмисник може отримати доступ до історії дзвінків і списку контактів. Потенційно ці вразливості також можуть використовуватися для модифікації прошивки пристрою жертви, що дасть змогу віддалено виконувати команди на смартфоні та впроваджувати шкідливе програмне забезпечення.

Наразі Airoha випустила оновлений пакет SDK, в якому реалізовано засоби захисту від згаданих вразливостей. Виробники порушених пристроїв працюють над створенням патчів. За даними джерела, останні оновлення для більш ніж половини зачеплених моделей були випущені не пізніше 27 травня - тобто ще до того, як Airoha представила оновлений SDK.

Обговорення новини

Коментариев пока никто не оставил. Станьте первым!

Попередні новини

Samsung досі не вистачає власної пам'яті LPDDR5X для смартфонів Galaxy S2520:35 30.06.2025

Однією з сильних сторін смартфонів Samsung завжди вважалася наявність у компанії вертикально інтегрованого виробництва, що дає змогу в пріоритетному порядку отримувати від профільних підрозділів передові дисплеї та мікросхеми пам'яті.

Neuralink підключила мозок до відеоігор: тепер Call of Duty можна проходити силою думки21:33 28.06.2025

Компанія Neuralink Ілона Маска підтвердила успішне впровадження інтерфейсів «мозок-комп'ютер» семи пацієнтам. Пристрої дають змогу керувати технікою силою думки - від переміщення курсору до контролю роботизованих кінцівок.

Apple запатентувала інноваційний датчик зображення з розширеним динамічним діапазоном21:26 28.06.2025

Стало відомо про нову патентну заявку Apple, яка може ознаменувати собою істотний прорив у сфері розробки сенсорів зображення. Заявка під назвою Image Sensor With Stacked Pixels Having High Dynamic Range And Low Noise описує датчик з неймовірним динамічним діапазоном у 120 дБ (майже 20 ступенів).