Nota importante: Alguna cobertura de los medios sobre este tema representa falsamente o de manera inexacta las condiciones de ataque. Para ser claros: cualquier dispositivo vulnerable puede verse comprometido si el atacante está en el rango de Bluetooth. Esa es la única condición previa.
Durante nuestra investigación sobre auriculares y auriculares Bluetooth, identificamos varias vulnerabilidades en dispositivos que incorporan sistemas AiroHa en un chip (SOCS). En esta publicación de blog, queremos describir brevemente las vulnerabilidades, señalar su impacto y proporcionar un contexto a los procesos de entrega de parches actualmente como se describe en este año. Conferencia de soldados.
Introducción
Aioriou es un proveedor que, entre otras cosas, construye SoC Bluetooth y ofrece diseños e implementaciones de referencia que incorporan estos chips. Se han convertido en un gran proveedor en el espacio de audio Bluetooth, especialmente en el área de los verdaderos auriculares estéreo inalámbrico (TWS). Varios proveedores de auriculares y auriculares de buena reputación han creado productos basados en las implementaciones de SOC y de referencia de Airoha utilizando el Kit de desarrollo de software de Airoha (SDK).
Descripción de la vulnerabilidad
En este punto, no queremos revelar demasiados detalles, como el código de prueba de concepto (POC) o la información demasiado técnica. Queremos informar sobre estas vulnerabilidades, especialmente su impacto y las dificultades para repararlas.
En resumen, estos dispositivos exponen un poderoso protocolo personalizado que permite manipular el dispositivo, por ejemplo, leyendo y escribiendo RAM o lectura y escritura al flash. Encontramos que este protocolo estaba expuesto a través de BLE Gatt a un atacante no apartado. También está expuesto como canal RFCOMM a través de Bluetooth BD/EDR (también conocido como Bluetooth Classic). Falta de autenticación para Bluetooth Classic permite a un atacante usar este protocolo sin emparejarse con el dispositivo. En este punto, decidimos no revelar el nombre del protocolo.
Las vulnerabilidades se enumeran en los siguientes números de CVE que se publicarán en el futuro:
CVE-2025-20700: autenticación faltante para servicios GATT
CVE-2025-20701: autenticación faltante para Bluetooth BR/EDR
CVE-2025-20702: Capacidades críticas de un protocolo personalizado
Más información seguirá más información en una publicación de blog detallada y un documento blanco más tarde.
Dispositivos afectados
Los SOC se utilizan en dispositivos como auriculares, auriculares, dongles, altavoces y micrófonos inalámbricos. Sin embargo, es inviable para nosotros encuestar e identificar exhaustivamente todos los productos afectados.
Durante nuestra investigación, compramos varios dispositivos y analizamos dispositivos de amigos y colegas. Podemos confirmar que los problemas prevalecen en muchos modelos de nivel de entrada y insignia. Los vendedores que nos confirmamos son Beyerdynamic, Marshall y Sony. Además, sabemos de muchos más dispositivos que usan los chips que suponemos que también son vulnerables.
Se confirmó que los siguientes dispositivos eran vulnerables:
Beyerdynamic amiron 300
Bose QuietComfort Aurices
Remitente de Auracast
Jabra Elite 8 Active
JBL Race 2
JBL Live Buds 3
JLAB Epic Air Sport ANC
Marshall Acton III
Marshall Major V
Marshall Minor IV
Marshall Motif II
Marshall Stanmore III
Marshall Woburn III
Moerlabs ecobeatz
Sony CH-720n
Sony Link Buds s
Sony Ult Wear
Sony WF-1000XM3
Sony WF-1000XM4
Sony WF-1000XM5
Sony WF-C500
Sony WF-C510-GFP
Sony WH-000XM4
Sony WH-000XM5
Sony WH-000XM6
Sony WH-ch520
Sony WH-XB910N
Sony Wi-C100
Teufel Tatws2
Obviamente, este enfoque no proporciona una imagen completa de todos los dispositivos afectados. Lo que hace que esto sea aún más difícil es la observación de que algunos dispositivos solo se ven afectados por un subconjunto de estos problemas. Hay al menos un proveedor que parece haber mitigado CVE-2025-20700 y CVE-2025-20701. No se nos desconoció si esto se hizo a propósito o por accidente.
Otro problema que identificamos es que algunos proveedores ni siquiera son conscientes de que están utilizando un SoC Airoha. Han subcontratado partes del desarrollo de su dispositivo, como el módulo Bluetooth. Si usted es un fabricante de dicho dispositivo y no está seguro de si sus dispositivos pueden verse afectados, no dude en contactarnos.
Impacto de vulnerabilidad
En la mayoría de los casos, estas vulnerabilidades permiten a los atacantes hacerse cargo de los auriculares a través de Bluetooth. No se requiere autenticación ni emparejamiento. Las vulnerabilidades se pueden activar a través de Bluetooth BR/EDR o Bluetooth baja energía (BLE). Estar en la gama Bluetooth es la única condición previa. Es posible leer y escribir la RAM y el flash del dispositivo. Estas capacidades también permiten a los atacantes secuestrar relaciones de confianza establecidas con otros dispositivos, como el teléfono emparejado con los auriculares. Estas capacidades permiten múltiples escenarios de ataque. Algunos ejemplos se cubren brevemente a continuación.
Memoria de lectura: actualmente jugando
Un ataque que implementamos fue leer los medios de juego actualmente de los auriculares a través de los comandos de lectura de Ram. Este es un ejemplo simple de la capacidad de lectura de RAM. Sin embargo, este ataque debe implementarse individualmente para cada modelo de auriculares y versión de firmware, ya que las direcciones de memoria cambian en diferentes firmware.
A continuación se muestra un ejemplo del ataque:
Explotación de información de medios
Espiral
El conjunto de vulnerabilidades abre múltiples escenarios de espía. La implementación más directa de un ataque de espía explota el roto BR/EDR Paring. Hemos demostrado que es posible establecer simplemente una conexión Bluetooth HFP con dispositivos vulnerables y escuchar lo que su micrófono está grabando actualmente. Sin embargo, como generalmente solo pueden manejar una conexión de audio Bluetooth, cualquier conexión de auriculares previas se eliminará, lo que hace que el ataque no sea muy clandestino. Para que pase desapercibido, los auriculares deben activarse, pero no en uso activo.
Un segundo vector para ataques de espía implica explotar la relación de confianza entre dos dispositivos Bluetooth emparejados. Cuando un usuario combina sus auriculares con un teléfono móvil, el teléfono establece un vínculo confiable con los auriculares. Si un atacante puede hacerse pasar por los auriculares, podría secuestrar esta relación de confianza de numerosas maneras. Uno de los posibles ataques sería usar el perfil de manos libres de Bluetooth (HFP) para emitir comandos al teléfono móvil. La gama de comandos disponibles depende del sistema operativo móvil, pero todas las plataformas principales admiten al menos iniciar y recibir llamadas.
Demostramos la cadena de ataque completa, comenzando con la extracción de teclas de enlace Bluetooth de la memoria flash de los auriculares. Estas claves se usaron para suplantar los auriculares a un teléfono previamente emparejado y para activar una llamada a un número arbitrario. En las condiciones correctas, la llamada establecida nos permitió escuchar con éxito las conversaciones o los sonidos al oído del teléfono.
Extracción del número de teléfono y contactos
En los teléfonos móviles, el número de teléfono del dispositivo y el número de llamadas entrantes suelen ser accesibles. Dependiendo de la configuración del teléfono, los datos adicionales, como el historial de llamadas y los contactos almacenados, también pueden ser recuperables.
Gusano
Debido al hecho de que los dispositivos se pueden identificar a través de sus servicios y características del GATT, y que es posible reescribir el firmware para obtener la ejecución del código, estas vulnerabilidades permiten una exploit wormable.
¿Qué ahora? ¿Tengo que entrar en pánico?
Entonces, ¿es esto serio?
Sí, técnicamente, es serio. Hay una prueba de concepto en nuestro laboratorio. Pero si es prácticamente peligroso para usted, un consumidor regular, todavía depende de varios factores. Porque esto es lo que es técnicamente posible si se cumplen todas las condiciones. Los ataques reales son complejos para realizar, no se pueden hacer a través de Internet o al azar. Un ataque requeriría lo siguiente:
Esté físicamente muy cerca de usted (dentro de ~ 10 metros). Bluetooth solo funciona a corto rango. Para explotar la vulnerabilidad, un atacante debe estar físicamente cerca de usted, como en la misma habitación, cafetería o autobús. Esta es la única condición previa técnica.
Explotar múltiples pasos técnicos perfectamente sin ser notados, requiriendo un conjunto de habilidades técnicas altas.
Sí, la idea de que alguien podría secuestrar sus auriculares, hacerse pasar por su teléfono y potencialmente hacer llamadas o espiar a usted, suena bastante alarmante. Pero este tipo de ataque solo tiene sentido para los objetivos de alto valor:
Periodistas, diplomáticos, disidentes políticos
Personas en industrias sensibles
VIPS bajo vigilancia
La mayoría de las personas no entran en esas categorías, por lo que probablemente no seas un objetivo. Se recomienda a las personas en estas categorías que no confíen en los auriculares Bluetooth. Si se ve bajo riesgo y decide esperar un parche hasta que use sus auriculares nuevamente, asegúrese de eliminar el emparejamiento entre los auriculares y su teléfono móvil.
Los usuarios finales deben parchear su firmware de auriculares. Sin embargo, antes de eso, un parche debe estar disponible.
Airoha ha solucionado las vulnerabilidades en el SDK y suministró una nueva versión a sus clientes (los fabricantes de dispositivos) en la primera semana de junio. Dependiendo de la rapidez con que estos diferentes proveedores creen y distribuyan actualizaciones de firmware para sus productos, algunos productos se solucionarán mucho más rápido que otros. A partir de ahora, no conocemos ninguna versión de firmware fija.
Notas a las cadenas de suministro de hardware
Cuando se descubre una vulnerabilidad en los SOC, el desafío no es solo arreglar la vulnerabilidad, está identificando todos los productos afectados:
El mismo Bluetooth SoC se usa en docenas o cientos de productos diferentes, a menudo bajo diferentes marcas.
Los proveedores no pueden revelar qué SOC está en uso, lo que dificulta vincular los CVE a los dispositivos del mundo real.
Incluso cuando existen parches, no todos los fabricantes de dispositivos impulsan las actualizaciones, especialmente para productos de menor costo o al final de la vida.
Esto crea un gran punto ciego en la gestión de vulnerabilidades debido a la naturaleza de la cadena de suministro.
Divulgación y línea de tiempo
Esta es una línea de tiempo acortada. Seguirá una línea de tiempo más detallada.
25 de marzo de 2025: Ernw informa las vulnerabilidades a Airoha a través de múltiples medios.
24 de abril de 2025: Ernw aún no ha recibido una respuesta de Airoha después de varios intentos de contacto. Ernw contacta a algunos proveedores confirmados de productos afectados directamente.
27 de mayo de 2025: La primera respuesta de Airoha a Ernw. Comienza la comunicación entre Ernw y Airoha.
4 de junio de 2025: Airoha suministra a los fabricantes de dispositivos con una actualización SDK con mitigaciones. Los fabricantes comienzan a desarrollar y enviar parches para sus productos.
26 de junio de 2025: Divulgación parcial después de más de 90 días, los soldados hablan y la publicación de esta publicación de blog.
¡Salud!
Dennis, Frieder y Julian