Hackeando fones Bluetooth: um novo caminho para invadir smartphones

 (media.ccc.de)
16 pontos por GN⁺ 2026-01-02 | 1 comentários | Compartilhar no WhatsApp
  • Vulnerabilidades em chips de áudio Bluetooth podem permitir o controle total dos fones e, como consequência, estender a rota de ataque até o smartphone conectado
  • Foi confirmado que fones/earbuds de marcas importantes como Sony, Marshall e Jabra são afetados
  • Foram encontradas três vulnerabilidades no SoC de áudio Bluetooth da Airoha: CVE-2025-20700, CVE-2025-20701, CVE-2025-20702
  • Explorando o fato de que os fones são periféricos Bluetooth confiáveis, foi demonstrada a possibilidade de atacar smartphones por meio do RACE, um protocolo Bluetooth customizado que permite acesso a firmware e memória
  • O alerta é que a segurança de periféricos Bluetooth pode se tornar uma nova fragilidade na segurança dos smartphones

Visão geral das vulnerabilidades no chip Airoha

  • A equipe de pesquisa encontrou três vulnerabilidades — CVE-2025-20700, CVE-2025-20701, CVE-2025-20702 — em chips de áudio Bluetooth populares desenvolvidos pela Airoha
    • Esses chips são amplamente usados em headphones e earbuds Bluetooth de vários fabricantes
  • As vulnerabilidades podem permitir o controle completo do dispositivo, e a demonstração mostrou impacto imediato usando fones de geração mais recente
  • O atacante pode usar como alvo secundário dispositivos com relação de confiança, como smartphones já pareados

Protocolo RACE e acesso ao firmware

  • Durante a pesquisa, foi identificado um poderoso protocolo Bluetooth customizado chamado RACE
    • Esse protocolo oferece funções de leitura e escrita de dados na flash e na RAM dos fones
  • Isso abre a possibilidade de ler, modificar ou customizar o firmware
    • Com esses fones Bluetooth infectados, torna-se possível atacar smartphones pareados
    • Se a Bluetooth Link Key for roubada, torna-se possível se passar pelo periférico
    • A própria estrutura em que o smartphone confia no periférico passa a funcionar como vetor de ataque
  • Os pesquisadores usaram esse recurso para criar uma base para patches de segurança e expansão da pesquisa

Fabricantes e produtos afetados

  • Entre os dispositivos afetados estão Sony (WH1000-XM5, WH1000-XM6, WF-1000XM5), Marshall (Major V, Minor IV), Beyerdynamic (AMIRON 300) e Jabra (Elite 8 Active)
  • A Airoha é fornecedora de SoCs Bluetooth e de designs de referência e SDKs
    • Diversas marcas conhecidas de áudio desenvolvem produtos com base no SoC e SDK da Airoha
    • A empresa tem participação elevada especialmente no mercado de TWS (True Wireless Stereo)

Percepção do usuário e problema das atualizações de segurança

  • Os pesquisadores apontaram que alguns fabricantes não forneceram aos usuários informações suficientes sobre as vulnerabilidades e as atualizações de segurança
  • O objetivo da apresentação é informar os usuários sobre o problema e divulgar detalhes técnicos para que pesquisadores possam continuar os estudos de segurança em dispositivos baseados na Airoha
  • Junto com a apresentação, foram publicados uma ferramenta para verificar se o dispositivo é afetado e ferramentas de análise para pesquisadores

Implicações gerais para a segurança de periféricos Bluetooth

  • À medida que a segurança dos smartphones se fortalece, os atacantes podem deslocar o foco para periféricos como fones e earbuds
  • Se a Bluetooth Link Key for roubada, o atacante pode fingir ser o periférico e acessar funções do smartphone
  • Por isso, é importante reforçar a segurança dos periféricos Bluetooth e a gestão de vulnerabilidades

Leituras relacionadas

1 comentários

 
GN⁺ 2026-01-02
Comentários do Hacker News

  • Fico feliz que esse texto finalmente esteja recebendo atenção
    Trata-se do que foi apresentado recentemente na 39C3, em Hamburgo: headsets Bluetooth comuns que usam Airoha SoC podem ser completamente comprometidos sem autenticação usando apenas um notebook Linux (CVE-2025-20700~20702)
    É possível acessar dump de firmware, configurações do usuário, chaves de sessão e até a faixa que está sendo reproduzida no momento
    As marcas afetadas incluem Sony (WH1000-XM5/XM6, WF-1000XM5), Marshall (Major V, Minor IV), Beyerdynamic (AMIRON 300) e Jabra (Elite 8 Active)
    A maioria dos fabricantes respondeu lentamente, mas a Jabra foi uma exceção e reagiu com rapidez
    O ponto interessante é que, apesar dessa vulnerabilidade, o protocolo Bluetooth LE “RACE” da Airoha provavelmente continuará sendo usado
    Com isso, usuários de Linux ganham a oportunidade de controlar o headset com mais granularidade
    Por exemplo, alternar automaticamente para o modo “hearthrough” ao ativar o mudo
    Ferramenta relacionada: RACE Reverse Engineered - CLI Tool
    Acho que esse nível de escuta remota de áudio é um problema que deveria ser tratado até em nível de segurança nacional

    • Sou um dos pesquisadores
      Como muita gente prefere texto a vídeo, estou deixando os materiais relacionados
      Blog: Bluetooth Headphone Jacking - Full Disclosure
      White paper: ERNW Publications
    • A Sony não publicou um comunicado oficial, mas quem usa o app provavelmente recebeu a notificação de atualização de firmware distribuída discretamente
      A maioria dos fabricantes usa serviços UUID próprios para controle de configurações
      No Android há clientes abertos como o Gadgetbridge, mas não sei de nada parecido para Linux
    • Eu também quase não assisto a vídeos técnicos, então raramente voto em links do YouTube
    • Se também fosse possível reproduzir áudio, seria o sonho dos trolls
      Não me surpreende que a Jabra tenha reagido rápido. Como é mais focada no mercado corporativo, tem maior sensibilidade a segurança
      A Sony hoje é mais uma marca voltada ao consumidor, então parece responder mais devagar
    • Já existem apps que fizeram engenharia reversa do protocolo de comunicação dos AirPods
      São o AndroPods de 2020 e o LibrePods de 2024
      Mas, por causa de um bug na stack Bluetooth do Android, não é possível executar comandos sem acesso root
      Issue relacionada: Google Issue Tracker

  • Quando o OpenBSD disse que não desenvolveria Bluetooth, todo mundo ficou bravo, mas olhando agora foi uma decisão sensata
    Bluetooth é um padrão complexo e mal estruturado, e nem dispositivos premium como o Sony WH1000 escapam disso
    Eu também uso AirPods Pro e WH1000-XM5, mas sempre soube que Bluetooth no fim das contas é “hack em cima de hack
    Quase não há como inspecionar o estado interno, a ponto de nem a intensidade do sinal ser exibida

    • Isso não é um problema do Bluetooth em si, e sim do fato de o chipset Airoha ter sido enviado com uma interface de depuração que permite ler a memória do SoC sem autenticação
      Disseram até que nem o e-mail de segurança funcionava
    • Fico pensando se não seria melhor transmitir áudio por Wi‑Fi
      Seria uma preocupação a menos
    • Conectar por cabo às vezes é um pequeno incômodo, mas ao usar monitor externo ou teclado isso se torna bem inconveniente
    • Dizer que “todo mundo abandonou o OpenBSD” é exagero. Ainda há gente como eu que continua usando
    • A ponto de virar piada dizer que então também teríamos que bloquear USB, porque vetores de ataque existem em toda parte

  • Reproduzi as etapas do white paper com o firmware mais recente do Sony WH-1000XM4, mas os comandos não responderam ou retornaram erro
    Não dá para ter certeza absoluta, mas parece corrigido

  • Resumindo, headsets de vários fabricantes são vulneráveis tanto em Bluetooth Classic quanto em BLE
    Eles usam o protocolo RACE sem autenticação, o que permite dump de memória e roubo de chaves
    Com essas chaves, o atacante pode se passar por um headset falso e acessar o smartphone
    Também é possível aceitar chamadas, espionar o microfone etc., o que pode até levar a burlar autenticação de dois fatores
    A única mitigação é não usar dispositivos vulneráveis ou desligar o Bluetooth
    Fico curioso se chipsets automotivos têm o mesmo problema

  • No fim, quem começou a eliminar o conector de 3,5 mm foi a Apple. O motivo oficial era “resistência à água”

    • Quando a Apple falou em “coragem (courage)”, todo mundo riu, mas no fim os outros fabricantes copiaram
      Hoje é difícil achar um celular premium com conector
    • Na prática, há muitos celulares resistentes à água que ainda têm conector
    • A Apple também citou economia de espaço e estratégia de longo prazo
      Em compensação, o ecossistema de fones USB-C cresceu, e dongles DAC de alta qualidade também viraram alternativa
      Lista relacionada: USB-C Headphones
    • Hoje em dia quase não vejo ninguém usando fone com fio. Parece alguém que insiste em usar só CD

  • Ainda não vi o vídeo, mas só pelo texto da página já dá para perceber que é uma vulnerabilidade de nível comprometimento total do dispositivo
    O que mais impressiona é que o atacante pode usar os fones para atacar até o smartphone
    A apresentação aborda a visão geral da vulnerabilidade, o impacto, as dificuldades no processo de correção e até a divulgação de uma ferramenta de modificação de firmware

    • Pelo resumo das etapas do ataque,
      1. conecta a curta distância
      2. faz dump da memória sem autenticação
      3. extrai a Bluetooth Link Key do dump
      4. usa a chave extraída para se conectar ao smartphone como um headset falso
        Depois disso, o atacante pode controlar o smartphone com os privilégios de um periférico confiável
        Fonte: comentário no HN

  • A Razer não foi mencionada, mas o transmissor do Blackshark V3 Pro usa o chip Airoha AB1571DN
    Do lado do headset não está claro, e também é difícil encontrar histórico de atualização de firmware

  • A vice-presidente Kamala Harris disse recentemente em uma entrevista que “fones sem fio não são seguros”
    Link do vídeo

    • Não é por motivação política, mas eu não confiaria na fala da Harris
      Bluetooth sempre foi uma tecnologia fraca em segurança, e a maioria das implementações é mal feita
      Vídeo de referência: link do YouTube
    • A segurança do Bluetooth em geral é fraca
      É difícil para o usuário verificar se uma conexão é segura, e a autenticação baseada em PIN também é incômoda
      Artigo relacionado: paper no arXiv
    • O que a Harris mencionou aparentemente não era essa vulnerabilidade específica, mas uma medida política baseada na percepção desse tipo de risco
    • Essa vulnerabilidade parece já ter sido divulgada por volta de junho; fico curioso se a entrevista foi antes disso

  • Foi uma pena que durante a demonstração as pessoas tenham atrapalhado fazendo trotes por telefone

  • Essa apresentação pode deixar alguns órgãos estatais desconfortáveis

    • Mas alguns países talvez até fiquem satisfeitos, dependendo de quem já conhecia essa vulnerabilidade