Sony, Bose и Marshall теперь могут шпионить за вами. Проверьте свои наушники на критическую уязвимость

Представьте, что ваши беспроводные наушники превращаются в тихий «жучок», а телефон рядом с ними внезапно становится гораздо доступнее для посторонних. Исследователи по безопасности раскрыли критические уязвимости в популярных Bluetooth-наушниках и TWS-вкладышах, которые в теории позволяют перехватывать звук, вытаскивать данные из памяти устройства и даже использовать наушники как ступеньку для атаки на подключённый смартфон.

Речь идёт о трёх уязвимостях с идентификаторами CVE-2025-20700, CVE-2025-20701 и CVE-2025-20702. Они затрагивают устройства на базе Bluetooth-систем на кристалле Airoha, которые широко применяются в массовых моделях известных брендов, включая Sony, Bose, JBL, Marshall и Jabra. По оценке исследователей, две из проблем связаны с отсутствием аутентификации для доступа к функциям управления по Bluetooth (в вариантах BLE и Classic) и имеют высокий уровень опасности, а третья уязвимость ещё серьёзнее: она связана с возможностью опасных операций через служебный протокол и получила критическую оценку.

Как выяснили специалисты ERNW, многие наушники на чипах Airoha «светят» собственный протокол RACE (Remote Access Control Engine) сразу по нескольким каналам, включая Bluetooth Low Energy, Bluetooth Classic и даже USB HID. Изначально RACE задумывался как инструмент для заводской отладки и обновления прошивки, поэтому внутри у него очень мощные команды, вплоть до чтения и записи произвольных областей памяти, как флеш, так и оперативной.

Первая уязвимость (CVE-2025-20700) связана с тем, что для ряда BLE-сервисов GATT не требуется аутентификация. Это означает, что злоумышленник в пределах радиуса действия Bluetooth может обнаружить уязвимые наушники и подключиться к ним без сопряжения, получив доступ к RACE. При этом, по описанию исследователей, подключение может пройти без заметных уведомлений для пользователя, то есть атака способна выглядеть полностью незаметной.

Вторая проблема (CVE-2025-20701) относится к Bluetooth Classic. Такие подключения иногда легче заметить, например из-за возможных перебоев со звуком, но суть та же: отсутствие аутентификации открывает доступ к служебным возможностям. Отдельно исследователи отмечают риск двустороннего аудиоканала, когда через профиль гарнитуры можно попытаться использовать микрофон наушников для прослушивания окружения.

Третья уязвимость (CVE-2025-20702) упирается в «начинку» RACE: набор команд позволяет получать информацию об устройстве, читать страницы флеш-памяти, выполнять произвольные операции чтения и записи в RAM, а также извлекать важные идентификаторы вроде адреса Bluetooth Classic. В сумме это даёт возможность как вытягивать чувствительные конфигурационные данные, так и вносить изменения, которые останутся надолго.

Самый неприятный сценарий начинается там, где наушники становятся ключом к телефону. В описанной цепочке атак злоумышленник сначала подключается к наушникам по BLE или Bluetooth Classic, затем через RACE выгружает данные из флеш-памяти. В ней, как утверждают исследователи, хранится таблица подключений с информацией о ранее сопряжённых устройствах, включая криптографический Link Key, который используется для взаимной аутентификации между наушниками и смартфоном. Получив этот ключ, атакующий может выдать себя за «доверенную» гарнитуру и подключиться к телефону уже в привилегированном статусе. Дальше открывается широкий спектр действий: от получения номера и контактов до злоупотребления голосовыми ассистентами (например, чтобы отправлять сообщения или совершать звонки), перехвата входящих вызовов и даже попыток организовать прослушивание через микрофон самого смартфона. В рамках демонстраций исследователи показали proof-of-concept атаки, которые приводили к компрометации учётных записей WhatsApp и Amazon, подчёркивая, что это не «теория ради теории».

Уязвимости впервые раскрыли в июне 2025 года, дав производителям время на исправления, но, по словам исследователей, спустя примерно полгода значительная часть устройств всё ещё оставалась без патчей. Поэтому команда опубликовала подробности вместе с white paper и выпустила RACE Toolkit, инструмент, который помогает проверить, подвержено ли конкретное устройство атаке. Среди подтверждённо уязвимых моделей упоминаются, в частности, Sony серий WH и WF, включая WH-1000XM5 и WF-1000XM5, Bose QuietComfort Earbuds, JBL Live Buds 3, Marshall MAJOR V и MINOR IV, а также ряд моделей Beyerdynamic, Jabra и Teufel, при этом полный перечень затронутых устройств до конца не ясен.

Часть производителей уже выпустила обновления прошивок. Исследователи выделяют Jabra за более прозрачный подход, когда в публичном центре безопасности перечисляются затронутые устройства и прямо упоминаются CVE в примечаниях к релизам. У Marshall и Beyerdynamic обновления тоже есть, но доступность и подробность информации у разных брендов заметно отличаются.

Пользователям в этой ситуации стоит проверить обновления прошивки для наушников через фирменные приложения или сайты производителей и установить их как можно быстрее. Тем, для кого риск целевых атак особенно высок, например журналистам, дипломатам и политикам, разумно на время перейти на проводные наушники, чтобы убрать сам Bluetooth как поверхность атаки. Также полезно удалить с телефона давно не используемые сопряжения, чтобы сократить число сохранённых ключей и потенциально уязвимых связок. Производителям же придётся оперативно подтягивать патчи из SDK Airoha и внимательнее относиться к тестированию Bluetooth-безопасности до выхода устройств на рынок.