文章总结： 研究员披露达发科技蓝牙芯片供应链漏洞，RACE协议认证缺失致数亿设备面临耳机劫持。攻击者可无感接管设备并窃取链路密钥，进而控制手机进行窃听。受影响品牌包括Sony与JBL等，修复难度大。建议用户及时升级固件并闲置时关闭蓝牙，企业应加强无线监测与资产清查。 综合评分： 90 文章分类： 漏洞分析,供应链安全,IoT安全,漏洞预警,数据安全

【安全圈】蓝牙芯片供应链重大漏洞披露：数亿设备面临「耳机劫持」风险

安全圈

2025年12月31日 19:01 江苏

关键词

漏洞

近期，网络安全研究人员披露了一组涉及蓝牙音频芯片供应链的高危安全漏洞。漏洞存在于达发科技（Airoha，联发科子公司）生产的蓝牙系统级芯片及其 SDK 中。由于该系列芯片被广泛应用于全球多家主流品牌的耳机和音响产品，导致数亿台设备暴露在攻击面之下。

攻击者可在无需配对、无需用户交互的情况下接管目标设备，进而实施窃听、固件篡改，甚至通过所谓的「耳机劫持」技术，反向控制已连接的智能手机。

漏洞核心机制与技术细节

本次漏洞主要集中在 Airoha 芯片固件中实现的一种专有协议 RACE。 该协议原本仅用于工厂测试或开发调试，但在大量量产固件中未被移除或禁用，且缺乏任何有效认证机制，从而成为攻击入口。

涉及的关键漏洞（CVE）

CVE-2025-20700：GATT 服务认证缺失 攻击者可通过 BLE 发现并连接目标设备。由于 GATT 服务未进行访问控制，攻击者可借此建立隐蔽通信通道，访问 RACE 协议接口。

CVE-2025-20701：蓝牙 BR/EDR 认证缺失 在经典蓝牙模式下，设备未强制执行配对认证流程，攻击者可直接建立连接，为后续高带宽通信和音频劫持创造条件。

CVE-2025-20702：RACE 协议暴露高危功能 这是影响最严重的漏洞。攻击者可通过 RACE 接口直接对芯片内存和闪存进行读写，导致敏感数据泄露、固件被覆盖，甚至实现远程代码执行。

「耳机劫持」：完整攻击链解析

与传统蓝牙攻击不同，此次漏洞的真正威胁在于横向移动能力，即从耳机进一步渗透至手机等核心终端。

攻击流程如下：

1. 无感接入 攻击者在约 10 米范围内，利用 BLE 或 BR/EDR 漏洞，在用户毫无察觉的情况下连接其蓝牙耳机。

2. 凭据提取 通过 RACE 协议读取耳机内存，提取与手机配对生成的**链路密钥（Link Key）**及手机的蓝牙 MAC 地址。

3. 身份伪冒与横向移动 攻击者使用获取的密钥伪装成合法耳机，手机因验证通过而自动建立连接。

4. 控制终端设备 连接建立后，攻击者可通过 HFP、A2DP 等蓝牙协议控制手机，包括：

• 激活麦克风进行环境监听
• 强制发起电话呼叫
• 获取通讯录和通话记录
• 通过语音助手注入恶意指令

供应链风险与影响评估

这是一次典型的供应链安全事件。Airoha 的芯片方案以高性价比著称，被广泛集成于多家知名品牌产品中，包括：

• Sony
• JBL
• Xiaomi
• Realme
• Marshall
• Bose
• Beyerdynamic 等

风险特点

隐蔽性强 厂商在基于 SDK 二次开发时，往往未意识到调试协议残留风险，导致漏洞随产品进入市场。

修复难度高 即便原厂已发布修复 SDK，蓝牙耳机整体固件升级率极低，部分低端设备甚至不支持 OTA，意味着大量存量设备将长期处于暴露状态。

潜在物理伤害 攻击者可通过 RACE 协议将音量瞬间调至最大，对佩戴者造成不可逆的听力损伤。

已确认受影响的部分设备

• Sony：WH-1000XM5、WF-1000XM5、LinkBuds S
• JBL：Live Buds 3、Endurance Race 2
• Marshall：Major V、Acton III
• Beyerdynamic：Amiron 300

（受影响范围仍在持续扩大中）

防御建议与缓解措施

对普通用户

• 及时更新固件：检查配套 App，第一时间升级耳机固件
• 降低暴露面：不使用时关闭耳机电源或手机蓝牙
• 关注异常行为：如音量异常、频繁断连、异常配对请求，应立即移除设备并重新配对

对企业与安全团队

• 资产清查：禁止在涉密区域使用未修补的蓝牙音频设备
• 无线监测：部署蓝牙/BLE 监测系统，识别异常连接行为
• BYOD 管控：将蓝牙外设固件版本纳入准入检查策略

结论

Airoha 芯片漏洞再次凸显：硬件层面的专有协议和调试接口，已成为物联网安全的长期顽疾。 在万物互联的背景下，攻击者正越来越多地利用边缘设备（如耳机）作为跳板，渗透至手机、PC 等核心终端。

「耳机劫持」不只是隐私泄露问题，更可能演变为针对高价值目标的定向攻击手段。

END

阅读推荐

【安全圈】Xplora 儿童手表惊现“万能钥匙”漏洞，黑客可监听通话

【安全圈】通过内核驱动与命名管道实现Windows本地提权漏洞利用

【安全圈】Windows事件日志揭示”精密”网络攻击背后的混乱真相

【安全圈】苹果 macOS 更安全是错觉！恶意软件日益猖獗：以前用户少黑客没兴趣

安全圈

←扫码关注我们

网罗圈内热点 专注网络安全

实时资讯一手掌握！

好看你就分享 有用就点个赞

支持「安全圈」就点个三连吧！

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈 《【安全圈】蓝牙芯片供应链重大漏洞披露：数亿设备面临「耳机劫持」风险》