XiaomiのRedmi Budsシリーズに重大なセキュリティ欠陥が見つかり、攻撃者が認証なしで機密性の高い通話データを盗み、デバイスをクラッシュさせることが可能になります。
新たに開示された2つの脆弱性はRedmi Buds 3 Proから6 Proに影響し、Bluetooth の到達範囲内にいる未認証の攻撃者が、非公開の電話番号にアクセスしたり、繰り返しサービス拒否状態を引き起こしたりできるようになります。
これらの脆弱性は、イヤホンのファームウェアにおけるRFCOMMプロトコル機構の不適切な処理に起因します。RFCOMMは、ペアリングされたデバイス間のシリアル通信を管理するBluetoothのプロトコル層です。
カーネギーメロン大学の研究revealsによると、Redmi Budsは、公開されているBluetoothプロファイルであるハンズフリープロファイル(HFP)、Advanced Audio Distribution Profile(A2DP)、Audio/Video Remote Control Profile(AVRCP)に加えて、文書化されていないL2CAPおよびRFCOMMチャネルを維持しており、これはレガシー音声サポートや補助サービスのためである可能性が高いとされています。
重大な情報漏えいの欠陥
CVE-2025-13834は、デバイスのRFCOMM TESTコマンドハンドラにおける境界チェックの不備を悪用します。
制御チャネルが、長さフィールドが過大に設定されている一方でペイロードが空のTESTコマンドを受信すると、欠陥のある応答機構が未初期化のメモリバッファを返し、最大127バイトの機密データが含まれる可能性があります。
攻撃者は単一のパケットで通話中の相手の電話番号を抽出でき、ユーザーに気付かれないまま繰り返しこの欠陥を誘発できます。
この脆弱性は悪名高いHeartbleedバグ(CVE-2014-0160)と非常によく似ており、いずれも十分な検証なしにパケットの長さフィールドを盲目的に信頼することに起因します。
このメモリ情報漏えいは、イヤホンのファームウェアアーキテクチャにおける根本的な見落としを示しており、IoTのプロトコルスタックが古典的なバッファ過剰読み取り攻撃に依然として脆弱であることを実証しています。
CVE-2025-13328は、RFCOMMチャネルに影響するフラッディング脆弱性を説明しています。
攻撃者は、制御チャネルに大量のTESTコマンドをフラッディングしたり、HFPチャネルおよび文書化されていないAiroha補助サービスチャネル上でモデムステータスコマンド(MSC)のシグナリングフレームを標的にしたりすることで、デバイスの処理キューを過負荷にできます。
リソース枯渇によりfirmwareがクラッシュし、ペアリング済みの全デバイスが強制的に切断され、復旧には充電ケースを用いた物理的なリセットが必要になります。
どちらの脆弱性も、事前のペアリング、認証、ユーザー操作を必要としません。攻撃者は基本的なBluetoothスキャンツールで標的デバイスのMACアドレスを取得するだけで済みます。
標準的な機器で信号増幅なしでも、悪用可能な範囲はおよそ20メートルに及びますが、物理的な障害物やBluetoothバージョンの違いにより実効距離は影響を受けます。
| CVE ID | 脆弱性の種類 | 攻撃ベクトル | 影響 |
|---|---|---|---|
| CVE-2025-13834 | 情報漏えい | RFCOMM TESTコマンド | 通話データの露出、電話番号の窃取 |
| CVE-2025-13328 | サービス拒否 | RFCOMMフラッディング | ファームウェアのクラッシュ、強制切断 |
Xiaomiは、修正または緩和策に関する問い合わせに回答していません。現時点でファームウェアパッチは提供されていません。
ユーザーは、イヤホンを使用していないときはBluetooth を無効にするべきであり、特に攻撃者がこれらの欠陥を悪用し得る公共の環境では注意が必要です。
これらの脆弱性は研究者のChoongin Lee、Jiwoong Ryu、Heejo Leeによって発見され、CERT Coordination Centerが文書化を提供しました。
これらの欠陥は、プロトコル実装に厳格な検証機構が欠けている消費者向けIoTデバイスにおける継続的なセキュリティ課題を浮き彫りにしています。
翻訳元: https://gbhackers.com/redmi-buds-vulnerability-could-allow-call-data-theft/
