Обнаружена серьезная уязвимость безопасности Bluetooth, позволяющая злоумышленникам прослушивать пользователей

Эти уязвимости позволяют злоумышленникам использовать Bluetooth-подключения для скрытого доступа к наушникам и управления ими без разрешения пользователя. В частности, хакеры могут превратить наушники в устройства для подслушивания, используя встроенный микрофон для записи окружающих звуков без ведома жертвы.

Они также могут отправлять команды на сопряженное устройство, например телефон или планшет, чтобы совершать секретные звонки, получать контакты, сообщения или другие личные данные.

Все это может происходить бесшумно, не оставляя никаких явных следов для пользователя, что делает обнаружение практически невозможным без специализированных инструментов анализа.

Bluetooth-гарнитуры могут стать шпионскими устройствами

Исследователи безопасности из ERNW (Германия) обнаружили серьезные уязвимости в механизме аутентификации протоколов Bluetooth Classic и BLE (Bluetooth Low Energy), интегрированных Airoha во многие линейки микросхем System-on-Chip (SoC).

Эти SoC обычно используются во многих моделях наушников таких брендов, как Sony, Bose, JBL, Jabra, Marshall, Beyerdynamic и многих других.

Хотя название Airoha может и не быть на слуху у конечных пользователей, его оборудование широко используется во множестве потребительских аудиоустройств, что делает масштаб уязвимости гораздо более серьезным.

Уязвимости безопасности, выявленные с помощью кодов CVE, включают:

CVE-2025-20700:Отсутствует аутентификация в службе GATT (Generic Attribute Profile), что влияет на соединение BLE.

CVE-2025-20701:Отсутствие аутентификации в протоколе Bluetooth BR/EDR (Basic Rate/Enhanced Data Rate), что позволяет злоумышленникам вмешиваться в традиционные соединения.

CVE-2025-20702:Использование неконтролируемых возможностей пользовательского протокола с оценкой серьезности CVSS 9,6, классифицируемой как близкая к критической.

Наушники неожиданно превратились в «записывающие микрофоны»

Комбинируя эти уязвимости, хакеры могут превратить, казалось бы, безобидную Bluetooth-гарнитуру в шпионское устройство. В одном из тестовых сценариев исследователи перенаправили аудиосигналы с гарнитуры для записи окружающих звуков, фактически превратив микрофон устройства в инструмент для подслушивания.

Другая атака позволяет отправлять команды на сопряженное устройство (например, телефон), заставляя его совершать вызовы без ведома пользователя или извлекать такую ​​информацию, как контакты, журналы вызовов, сообщения и т. д.

Предупреждение производителям и пользователям

Учитывая близкие к максимальным показатели серьезности и возможность атаки без необходимости взаимодействия с жертвой, эти уязвимости требуют от производителей устройств как можно скорее обновить прошивки и установить исправления.

Самый важный совет для пользователей сейчас — внимательно следить за обновлениями прошивки для наушников. Airoha уже исправила ошибку, но 25 июня ERNW сообщила, что «не видела никаких патчей, выпущенных публично». Многие компании могут включить это исправление в свои регулярные обновления, но сроки его выпуска пока неясны.

В ожидании подтверждения выхода исправления пользователям следует:

- Проверяйте прошивку с помощью официального приложения производителя не реже одного раза в неделю.

- Отключитесь и избегайте использования затронутых моделей в средах, содержащих конфиденциальную информацию.

- Следите за рекомендациями по безопасности на веб-сайте бренда, в электронной почте или социальных сетях.

- Не оставляйте гарнитуру в режиме постоянной готовности, когда в этом нет необходимости, чтобы снизить риск сканирования.

Хотя эксплуатация этих уязвимостей требует специальных навыков и близости к цели, новые данные показывают, как аудиоустройства стали «шлюзами» для данных. Поскольку наушники также используются для телефонных звонков, управления голосовым помощником и воспроизведения музыки, серьёзная уязвимость может превратить привычный гаджет в серьёзную угрозу конфиденциальности.

В эпоху беспроводной связи даже такие, казалось бы, простые устройства, как наушники, могут стать мишенью для хакеров. Это также напоминание пользователям, что безопасность важна не только для телефонов и компьютеров, но и для каждой самой маленькой точки подключения вокруг нас.