文章总结： 文档披露达发科技蓝牙芯片存在RACE协议认证缺失等供应链漏洞，攻击者可无需配对控制设备并窃取链路密钥，进而劫持连接手机进行窃听。该漏洞影响索尼、小米等数亿设备，建议用户立即更新固件或物理关闭蓝牙，企业应加强无线监测与资产清查。 综合评分： 87 文章分类： 漏洞分析,供应链安全,IoT安全,漏洞预警,移动安全

蓝牙芯片供应链重大漏洞披露：数亿设备面临「耳机劫持」风险

原创

mayfly

独眼情报

2025年12月29日 11:15 湖北

近期，网络安全研究领域披露了一组涉及蓝牙音频芯片供应链的重大安全漏洞。这些漏洞存在于达发科技（联发科子公司）生产的蓝牙系统级芯片及其软件开发工具包中。由于该系列芯片被广泛应用于全球各大知名品牌的耳机与音响产品中，导致数亿台设备暴露在攻击面之下。攻击者利用这些漏洞，可在无需配对、无需用户交互的情况下，实现对目标设备的完全控制，进而实施窃听、固件篡改甚至通过「耳机劫持」技术反向控制已连接的智能手机。

漏洞核心机制与技术细节

本次披露的漏洞主要集中在Airoha芯片固件中实现的一种专有协议——RACE。该协议本应仅用于工厂生产线测试或开发调试，但在大量市售产品的固件中未被移除或禁用，且缺乏必要的认证机制。

主要涉及的三个关键CVE漏洞如下：

1. CVE-2025-20700（GATT服务认证缺失）：攻击者可通过低功耗蓝牙发现并连接目标设备。虽然GATT服务通常用于低带宽通信，但由于缺乏服务级认证，攻击者可借此建立隐蔽通道，访问RACE协议接口。
2. CVE-2025-20701（蓝牙BR/EDR认证缺失）：在经典蓝牙模式下，受影响设备未强制执行配对认证。攻击者可直接建立连接，绕过标准的蓝牙配对流程。这为后续的高带宽数据传输和音频流劫持打开了大门。
3. CVE-2025-20702（自定义协议中的关键功能暴露）：这是最为严重的漏洞。通过暴露的RACE协议接口，攻击者可以直接向设备发送指令，实现对芯片内存和闪存的读写操作。这意味着攻击者不仅能提取设备内的敏感数据，还能直接覆盖设备固件，实现远程代码执行。

「耳机劫持」：攻击链与横向移动

与传统的蓝牙攻击不同，本次披露的威胁不仅限于耳机本身，更可怕的是其带来的横向移动能力，即所谓的「耳机劫持」。完整的攻击链条如下：

1. 无感接入： 攻击者在物理接近受害者（通常10米范围内）时，利用CVE-2025-20700或CVE-2025-20701，在受害者毫无察觉的情况下连接其蓝牙耳机。
2. 提取凭据： 利用CVE-2025-20702的内存读取能力，攻击者从耳机内存中提取出与受害者手机配对生成的「链路密钥」和手机的蓝牙MAC地址。
3. 身份伪冒与横向移动： 获取链路密钥后，攻击者可将自己的攻击设备伪装成受害者的耳机。由于拥有合法的密钥，受害者的手机会认为这是可信设备，自动接受连接。
4. 控制终端： 一旦连接建立，攻击者即可通过蓝牙HFP（免提配置文件）或A2DP协议向手机发送指令。这包括但不限于：

• 窃听与录音： 激活麦克风进行环境监听。
• 发起呼叫： 强制手机拨打特定号码。
• 信息窃取： 获取通讯录、通话记录等敏感信息。
• 恶意指令注入： 通过语音助手接口注入恶意语音指令。

供应链风险与影响面评估

此次事件是典型的供应链安全危机。Airoha作为MediaTek（联发科）的子公司，其芯片方案以高性价比著称，被广泛应用于索尼（Sony）、JBL、小米、Realme、Marshall、Bose等众多知名品牌的中低端乃至旗舰产品中。

• 隐蔽性强： 许多厂商在使用芯片提供的SDK进行二次开发时，并未意识到RACE协议的残留风险，直接将包含调试接口的固件推向市场。
• 补丁分发困难： 尽管芯片原厂可能已发布修复后的SDK，但由于蓝牙耳机的固件升级率极低，且部分低端设备甚至不支持OTA升级，这意味着大量存量设备将永久面临风险。
• 物理危害： 除了数据安全，攻击者还可利用RACE协议极速调高音量至最大值，对佩戴者的听力造成不可逆的物理伤害。

受影响设备

• Sony: WH-1000XM5, WF-1000XM5, LinkBuds S
• JBL: Live Buds 3, Endurance Race 2
• Marshall: Major V, Acton III
• Beyerdynamic: Amiron 300
• 小x
• realyou

防御建议与缓解措施

针对最终用户：

1. 固件更新： 立即检查耳机配套App，查看是否有固件更新，并尽快升级至最新版本。
2. 物理阻断： 在不使用蓝牙设备时，建议彻底关闭耳机电源或手机蓝牙功能，减少暴露窗口。
3. 异常关注： 若发现耳机无故断连、音量突然变化或手机出现异常配对请求，应立即断开连接并移除配对记录。

针对企业与安全团队：

1. 资产清查： 企业应禁止在高敏办公区域（如涉密会议室）使用已知受影响品牌的未修补蓝牙音频设备。
2. 无线监测： 部署无线信号监测系统，识别异常的蓝牙连接行为和非法的BLE广播活动。
3. BYOD策略更新： 将蓝牙外设的固件版本纳入BYOD设备的准入检查流程中。

结论

本次Airoha芯片漏洞的披露再次证明，硬件底层的专有协议与调试接口已成为物联网设备的一大顽疾。在万物互联的背景下，攻击者正越来越多地利用边缘设备（如耳机）作为跳板，渗透进入更核心的个人计算设备（如手机、PC）。「耳机劫持」不仅是隐私泄露的风险，更可能演变为针对高价值目标的定向攻击工具。

• 参考：https://insinuator.net/2025/12/bluetooth-headphone-jacking-full-disclosure-of-airoha-race-vulnerabilities/

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：独眼情报 mayfly《蓝牙芯片供应链重大漏洞披露：数亿设备面临「耳机劫持」风险》