セキュリティ研究者は、AirohaベースのBluetoothヘッドホンに存在する重大な脆弱性を公表しました。これにより攻撃者は、複数のエクスプロイトを連鎖させることで、接続されたスマートフォンを侵害できるようになります。
3つの脆弱性CVE-2025-20700、CVE-2025-20701、CVE-2025-20702は、Sony、Marshall、Jabra、Boseなど、複数メーカーの人気ヘッドホンモデル数十機種に影響します。
これらの脆弱性は、Airoha独自のRACEプロトコルにおける認証機構の欠如と、デバッグ機能が露出している点に起因します。RACEプロトコルは、デバイス設定やファームウェア更新に使用されています。
Bluetoothの通信範囲内にいる攻撃者は、事前のペアリングやユーザー操作を必要とせずに、これらの欠陥を悪用できます。
攻撃チェーン
悪用は、認証なしでの接続確立から始まります。CVE-2025-20700は攻撃者が認証なしでBluetooth Low Energy経由で接続できるようにし、CVE-2025-20701は不正なBluetooth Classic接続を可能にします。
接続後、攻撃者はCVE-2025-20702を利用してRACEプロトコルへアクセスし、デバイスメモリに対する任意の読み取り・書き込み権限を得ます。
これらの機能を用いて、攻撃者はBluetooth Link Key(ヘッドホンとペアリング済みスマートフォン間で共有される暗号学的な秘密)を抽出できます。
Insinuatorによると、研究者はこの鍵により攻撃者が被害者のスマートフォンに対して信頼されたヘッドホンになりすませることを実証し、デバイス上で特権的な立場を獲得できるとしています。
この特権状態から、攻撃者は複数の攻撃を実行できます。Bluetooth Hands-Free Profileを使用して、電話番号、連絡先リスト、通話履歴にアクセス可能です。
さらに深刻なのは、ロック解除された端末に対して音声アシスタントを起動し、メッセージ送信、発信、位置情報データの抽出を行える点です。
また、通話の乗っ取りも可能で、攻撃者が着信を密かに応答して音声ストリームを取得したり、被害者のスマートフォンを使って攻撃者が管理する番号へ発信させて盗聴したりできます。
脆弱性調査では、Sony WF-1000XM5、Marshall ACTON III、JBL Live Buds 3、Beyerdynamic Amiron 300など、少なくとも30台の脆弱なデバイスが特定されました。
ただし研究者は、これは検証済みデバイスに限ったものであり、未修正のまま影響を受けるモデルがさらに多数存在する可能性があると指摘しています。
注目すべき点として、Jabraのように追加のセキュリティ対策を実装して修正を適用したベンダーもある一方、Sony やBoseを含む一部は、脆弱性について公に対応を示していません。
Airohaは2025年6月にSDKのパッチをリリースしましたが、ベンダー側の採用状況は一貫していません。ユーザーは直ちにデバイスを更新し、スマートフォンから古いペアリング済みデバイスを削除すべきです。
研究者は、ジャーナリストや外交官など価値の高い標的となり得る人々は、代わりに有線ヘッドホンの使用を検討するよう推奨しています。
研究者はホワイトペーパーとRACE Toolkitを公開し、ユーザーがデバイスの脆弱性状況を独自に検証できるようにしました。
メーカーには、Airohaのパッチを適用し、確立されたBluetoothセキュリティテスト手法を用いて製品リリース前にセキュリティ評価を実施することが強く求められています。
今回の公表は責任ある開示の慣行に従っており、ベンダーに十分な修正時間を与えるため、初回通知から6か月後に技術的詳細が公開されました。
翻訳元: https://gbhackers.com/new-bluetooth-headphone-vulnerabilities/
