文章总结： ERNW披露联发科络达RACE协议三大无鉴权漏洞CVE-2025-20700/1/2，暴露索尼、JBL等数百万耳机，可窃听、Dump闪存并提取蓝牙链路密钥进而伪装耳机劫持手机触发语音助手、静默接听通话；厂商已局部推送补丁，用户需立即更新固件或改用有线耳机以降低被远程操控风险 综合评分： 92 文章分类： IoT安全,漏洞分析,威胁情报,终端安全

“耳机劫持”惊魂！热门蓝牙耳机藏致命漏洞，手机恐被远程操控

看雪学苑

看雪学苑

2025年12月29日 17:59 上海

德国网络安全公司ERNW Enno Rey Netzwerke GmbH最新报告披露，主流音频品牌使用的芯片存在三大致命漏洞，攻击者可借此窃听对话，甚至劫持相连的智能手机。

这份题为《Airoha RACE：蓝牙耳机漏洞》的白皮书，聚焦于联发科旗下络达（Airoha）公司生产的一系列广泛应用的蓝牙系统级芯片（SoC）。这些芯片为索尼、JBL、马歇尔、捷波朗等行业巨头的数百万副真无线立体声（TWS）耳机和入耳式耳机提供动力。

问题核心在于一款名为RACE的专有诊断协议。该协议本用于工厂调试，却在量产设备上基本处于“未锁定”状态，可通过经典蓝牙和低功耗蓝牙（BLE）被访问。报告指出：“本质上，这些问题可概括为缺乏身份验证，同时搭配了功能强大的类调试协议。”

由于该协议无需身份验证，任何处于蓝牙信号范围内的攻击者都能在用户毫不知情的情况下连接耳机。一旦连接成功，RACE协议将赋予攻击者“对设备的广泛访问权限”，使其能够读写设备内存和闪存。

这绝非仅仅是调整音量那么简单。研究人员演示表明，攻击者可“读取当前播放媒体的元数据”，相当于监视用户正在收听的内容。更令人担忧的是，基础配对安全机制的缺失，让攻击者能直接劫持麦克风。“配对机制的缺失不仅让未授权攻击者可使用RACE协议，其本身就是一个漏洞……这可能导致攻击者通过设备麦克风进行窃听。”

尽管入侵耳机已令人担忧，但真正的危险在于研究人员所称的“耳机劫持”（Headphone Jacking）。通过将这些漏洞串联利用，攻击者可从耳机进而渗透用户的智能手机。攻击流程为： Dump耳机闪存，窃取蓝牙链路密钥——这是建立手机与耳机信任关系的加密密钥。

研究人员警告：“当这三大漏洞被串联利用时，危害将从‘入侵耳机’升级为‘攻陷手机’。”掌握该密钥后，攻击者可伪装成受信任的耳机，直接连接受害者手机。由此产生的风险不堪设想：报告详细列举了多种攻击场景，包括触发语音助手、发送短信，甚至“静默接听来电并获取音频流”，将手机变成远程窃听器。

这三项漏洞（CVE编号：CVE-2025-20700、CVE-2025-20701、CVE-2025-20702）影响范围极广，涵盖多款热门设备。研究人员已在以下机型中验证了漏洞存在：索尼WH-1000XM5、WF-1000XM5、LinkBuds S；JBL Live Buds 3、Endurance Race 2；马歇尔Major V、Acton III；拜亚动力Amiron 300。

目前，捷波朗等部分厂商已开始推送补丁，但蓝牙市场的碎片化现状意味着大量用户仍面临风险。报告指出：“由于可能仍受影响的设备数量庞大，目前无法全面掌握修复进展。”

安全专家强烈建议用户立即检查固件更新。ERNW还面向技术用户发布了RACE工具包，供其验证自身设备是否存在漏洞。报告最后建议：“认为自己属于高风险目标的人群，应使用有线耳机替代蓝牙耳机。”

资讯来源：securityonline.info

转载请注明出处和本文链接

﹀

﹀

﹀

球分享

球点赞

球在看

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：看雪学苑 看雪学苑《“耳机劫持”惊魂！热门蓝牙耳机藏致命漏洞，手机恐被远程操控》