XiaomiのRedmi Budsシリーズに重大なセキュリティ欠陥が見つかり、認証なしの攻撃者が機密性の高い通話データを窃取したり、ユーザーの操作なしにデバイスをクラッシュさせたりできることが判明しました。
新たに公開された2件の脆弱性はRedmi Buds 3 Proから6 Proに影響し、Bluetoothの到達範囲内にいる攻撃者が非公開の電話番号にアクセスしたり、繰り返しサービス拒否(DoS)状態を引き起こしたりできるようになります。
これらの脆弱性は、イヤホンのファームウェアにおけるRFCOMMプロトコル機構の不適切な処理に起因します。
RFCOMMは、ペアリングされたデバイス間のシリアル通信を管理するBluetoothプロトコル層です。
カーネギーメロン大学の研究によると、Redmi Budsは、公開されているBluetoothプロファイルであるハンズフリープロファイル(HFP)、高度音声配信プロファイル(A2DP)、オーディオ/ビデオリモートコントロールプロファイル(AVRCP)に加えて、文書化されていないL2CAPおよびRFCOMMチャネルを維持しており、これはレガシー音声サポートや補助サービスのためである可能性が高いとされています。
CVE-2025-13834は、デバイスのRFCOMM TESTコマンドハンドラにおける境界チェックの欠陥を悪用します。制御チャネルが、長さフィールドが過大に設定されている一方でペイロードが空のTESTコマンドを受信すると、誤った応答機構により、最大127バイトの機密データを含む未初期化のメモリバッファが返されます。
攻撃者は単一のパケットで、通話中の相手の電話番号を抽出でき、ユーザーに気付かれないまま繰り返しこの欠陥を誘発できます。
この脆弱性は悪名高いHeartbleedバグ(CVE-2014-0160)と非常によく似ており、いずれも十分な検証なしにパケットの長さフィールドを盲目的に信頼することが原因で発生します。
このメモリ情報漏えいは、イヤホンのファームウェアアーキテクチャにおける根本的な見落としを示しており、IoTのプロトコルスタックが古典的なバッファ過剰読み取り攻撃に依然として脆弱であることを示しています。
CVE-2025-13328は、RFCOMMチャネルに影響するフラッディング脆弱性を説明しています。攻撃者は、制御チャネルに大量のTESTコマンドをフラッドするか、HFPチャネルおよび文書化されていないAirohaの補助サービスチャネルにまたがるモデムステータスコマンド(MSC)シグナリングフレームを狙うことで、デバイスの処理キューを圧迫できます。
リソース枯渇によりファームウェアがクラッシュし、ペアリング済みのすべてのデバイスが強制的に切断され、復旧には充電ケースを用いた物理的なリセットが必要になります。
両脆弱性は、事前のペアリング、認証、ユーザー操作を必要としません。攻撃者は基本的なBluetoothスキャンツールで標的デバイスのMACアドレスを取得するだけで十分です。
標準的な機器で信号増幅なしでも、悪用可能な範囲は約20メートルに及びますが、物理的な障害物やBluetoothバージョンの違いによって実効範囲は影響を受けます。
Xiaomiは、修正や緩和策に関する問い合わせに回答していません。現時点でファームウェアパッチは提供されていません。
ユーザーは、特に攻撃者がこれらの欠陥を悪用し得る公共環境では、イヤホンを使用していないときはBluetoothを無効にするべきです。
これらの脆弱性は、研究者のChoongin Lee、Jiwoong Ryu、Heejo Leeによって発見され、CERTコーディネーションセンターにより文書化が提供されました。
これらの欠陥は、プロトコル実装に厳格な検証が欠けている消費者向けIoTデバイスにおける、継続的なセキュリティ課題を浮き彫りにしています。
翻訳元: https://cyberpress.org/redmi-buds-vulnerability/