近期,德国知名安全机构ERNW的研究人员揭露了一项关于络达(Airoha)蓝牙芯片的重大安全发现,指出这些广泛植入主流无线耳机与音箱中的芯片潜藏三项安全缺陷。
据研究显示,位于10至20米范围内的攻击者能够利用这些漏洞,对目标设备执行一系列非法操作。例如,当设备处于待机状态时,攻击者通过芯片内置的麦克风,可无声无息地窃听周围对话。他们还能获取包括联系人列表、通话记录及当前播放的媒体信息等敏感数据,具体可获取的信息量则依赖于设备的型号和软件版本。
更令人担忧的是,这三个漏洞(CVE-2025-20700至CVE-20702)赋予了攻击者绕过蓝牙认证流程的能力,这意味着黑客无需设备主人的许可,即可轻松连接至存在漏洞的设备。一旦连接成功,他们便能通过隐藏的芯片协议,读写设备内存,甚至操控设备的特定功能。不过,值得注意的是,此类攻击的有效范围受限于蓝牙的传输距离,在无遮挡的理想环境下,其最远作用距离约为20米。
面对这一严峻的安全威胁,络达公司迅速响应,发布了针对这些漏洞的补丁。然而,这些补丁何时能够推送至终端用户设备,则完全依赖于各品牌厂商的行动速度。因此,ERNW建议所有使用受影响型号芯片的用户,密切关注自己设备品牌的官方公告和支持页面,耐心等待固件更新的到来。
