Bluetoothヘッドホンは武器化され、スマホをハッキングされ得る

研究者らは、人気のBluetoothヘッドホンに存在する重大な欠陥により、盗聴、データ窃取、スマートフォンの侵害が可能になる恐れがあると警告している。

これらの脆弱性は主要ブランドのデバイスに影響しており、その多くはまだ修正されていない。

研究者らは、欠陥は「…デバイスのマイクを介した盗聴を可能にする可能性がある」と述べた。

未修正のBluetoothデバイスは危険にさらされる

これらの脆弱性は、消費者向け電子機器市場で広く使用されているAirohaのシステム・オン・チップ（SoC）を搭載したBluetoothヘッドホンおよびイヤホンに影響する。

欠陥はCVE-2025-20700、CVE-2025-20701、CVE-2025-20702として追跡されており、CVSSスコアは8.8〜9.6で、高〜重大の深刻度を示している。

2025年6月にベンダーへ初回開示が行われたにもかかわらず、公開時点で影響を受ける製品を完全に修正できていないメーカーもある。

問題の中核にあるのは、Airoha独自のRACE（Remote Access Control Engine）プロトコルだ。

RACEは工場でのデバッグやファームウェア更新のために設計されており、任意のメモリ位置の読み書きなど、強力な機能を公開している。

研究者らは、多くのAirohaベースのデバイスが、適切な認証なしにBluetooth Low Energy（BLE）、Bluetooth Classic、USB HIDインターフェース経由でこのプロトコルを公開していることを突き止めた。

CVE-2025-20700は、BLEのGATTサービスに認証が欠落している問題で、Bluetoothの到達範囲内にいる攻撃者が、ペアリングやユーザー操作なしに脆弱なヘッドホンへ接続できる。

この接続は通常アラートを発生させないため、攻撃の検知は困難になる。

CVE-2025-20701はBluetooth Classic接続に影響し、双方向音声をサポートし得る未認証アクセスを可能にする。状況によっては、攻撃者がハンズフリープロファイル（HFP）を悪用し、ヘッドホンのマイクを使って盗聴できる。

最も深刻な欠陥であるCVE-2025-20702は、RACEプロトコルの全機能を露出させ、攻撃者がフラッシュメモリを読み出し、RAMを操作し、機微なデバイスデータを抽出できるようにする。

真の危険性は、これらの欠陥が連鎖して悪用されたときに顕在化する。

研究者らは、攻撃者がヘッドホンのフラッシュメモリをダンプして、ペアリング済みスマートフォンに対するデバイス認証に用いられる暗号学的なLink Keyを取得できることを実証した。

その鍵があれば、攻撃者はヘッドホンになりすまして、信頼されたデバイスとして被害者のスマホへ直接接続できる。

そこから攻撃者は、SiriやGoogleアシスタントのような音声アシスタントを起動し、連絡先へアクセスし、通話を発信し、着信音声を乗っ取り、さらにはスマホのマイクを通じて秘匿的な盗聴セッションを確立することさえ可能になる。

研究者らはWhatsAppおよびAmazonアカウントに影響する概念実証（PoC）攻撃を示し、リスクが単なる理論ではないことを確認した。

パッチ適用状況はベンダーによって大きく異なるため、ユーザーや組織はBluetoothベースの攻撃への露出を減らすために、先回りして対策を講じるべきだ。

これらの対策は、信頼関係の制限、攻撃対象領域の縮小、侵害された周辺機器による影響の低減に焦点を当てている。

これらの手順は、Bluetoothの攻撃対象領域を減らし、被害の波及範囲を限定するのに役立つ。

これらの脆弱性は、消費者向け電子機器エコシステムにおけるより広範な問題を浮き彫りにしている。すなわち、製造・試験・保守を目的とした低レベルのファームウェア機能が、十分なセキュリティ制御や継続的なレビューなしに製品版デバイスへ残存し得るという点だ。

Airohaの欠陥が広範に影響していることは、チップセットやSDKレベルで持ち込まれた脆弱性が多数のブランドや製品ラインへ波及し得ることから、サプライチェーンセキュリティの重要性も強調している。

ハードウェアおよびソフトウェア・サプライチェーン全体にわたる、より強力な監督、透明性、セキュリティ検証がなければ、単一の設計上の弱点が世界規模の消費者リスクへと拡大し得る。