- Bluetoothオーディオチップの脆弱性により、ヘッドホンが完全に乗っ取られる可能性があり、その結果接続されたスマートフォンにまで攻撃経路が拡大しうる
- Sony, Marshall, Jabra など主要ブランドのヘッドホン/イヤーバッドが影響を受けることが確認された
- 製品に使われているAirohaのBluetoothオーディオSoCで CVE-2025-20700, CVE-2025-20701, CVE-2025-20702 の3件の脆弱性が発見された
- ヘッドホンが信頼されたBluetooth周辺機器である点を悪用し、ファームウェア・メモリアクセスが可能なカスタムBluetoothプロトコル RACE を通じてスマートフォンを攻撃できる可能性が実証された
- Bluetooth周辺機器のセキュリティがスマートフォンセキュリティの新たな弱点になりうることを警告
Airohaチップの脆弱性概要
- 研究チームは、Airoha が開発した人気のBluetoothオーディオチップで CVE-2025-20700, CVE-2025-20701, CVE-2025-20702 の3件の脆弱性を発見
- これらのチップは、複数メーカーのBluetoothヘッドホンやイヤーバッドで広く使われている
- 脆弱性はデバイスの完全な掌握を許す可能性があり、デモでは最新世代のヘッドホンを使って即時的な影響が示された
- 攻撃者はペアリング済みのスマートフォンなど、信頼関係にあるデバイスを二次攻撃の標的にできる
RACEプロトコルとファームウェアアクセス
- 研究の過程で、RACE という強力なカスタムBluetoothプロトコルが発見された
- このプロトコルは、ヘッドホンのフラッシュおよびRAMへのデータ読み書き機能を提供する
- これにより、ファームウェアの読み出し・改変・カスタマイズが可能になる道が開かれた
- こうして感染したBluetoothヘッドホンを通じてペアリング済みスマートフォンを攻撃できる可能性がある
- Bluetooth Link Keyを奪取できれば周辺機器になりすますことが可能
- スマートフォンが周辺機器を信頼する構造そのものが攻撃ベクトルとして機能する
- 研究チームはこの機能を活用し、セキュリティパッチや研究の拡張のための基盤を整えた
影響を受けるメーカーと製品
- 脆弱性の影響を受ける機器として、Sony (WH1000-XM5, WH1000-XM6, WF-1000XM5), Marshall (Major V, Minor IV), Beyerdynamic (AMIRON 300), Jabra (Elite 8 Active) などが挙げられている
- AirohaはBluetooth SoCおよびリファレンスデザイン・SDKの提供企業
- 多くの著名オーディオブランドがAiroha SoCとSDKを基盤に製品を開発している
- とくにTWS(True Wireless Stereo) 市場で高いシェアを持つ
ユーザー認識とセキュリティアップデートの問題
- 研究チームは、一部メーカーが脆弱性やセキュリティアップデートに関する情報をユーザーに十分提供していなかったと指摘
- 発表の目的は、ユーザーに問題を知らせるとともに、研究者がAirohaベースの機器のセキュリティ研究を継続できるよう技術的詳細を公開すること
- 発表にあわせて、機器が影響を受けるか確認できるツールと研究者向け分析ツールが公開された
Bluetooth周辺機器セキュリティの一般的な含意
- スマートフォンのセキュリティ強化が進むにつれ、攻撃者は**周辺機器(ヘッドホン、イヤーバッドなど)**へと攻撃の焦点を移す可能性がある
- Bluetooth Link Key が奪取された場合、攻撃者は周辺機器を偽装してスマートフォンの機能にアクセスできる
- このため、Bluetooth周辺機器のセキュリティ強化と脆弱性管理が重要になる
1件のコメント
Hacker Newsの意見
この記事がついに注目されてうれしい
最近ハンブルクの39C3で発表された内容で、Airoha SoC を使う一般的なBluetoothヘッドセットが、認証なしで LinuxノートPC だけで完全に乗っ取れる(CVE-2025-20700~20702)
ファームウェアダンプ、ユーザー設定、セッションキー、現在再生中のトラックにまでアクセス可能
影響を受けるブランドには、Sony(WH1000-XM5/XM6, WF-1000XM5)、Marshall(Major V, Minor IV)、Beyerdynamic(AMIRON 300)、Jabra(Elite 8 Active)などがある
ほとんどのメーカーの対応は遅かったが、Jabraは例外的に素早く対応した
興味深いのは、この脆弱性があってもAirohaの Bluetooth LE “RACE” プロトコル が今後も使われ続ける可能性が高いこと
そのおかげで、Linuxユーザーはヘッドセットをより細かく制御できる機会を得ることになる
たとえば、ミュート時に「hearthrough」機能へ自動で切り替えるといったことだ
関連ツール: RACE Reverse Engineered - CLI Tool
このレベルの遠隔オーディオ盗聴は、国家安全保障の観点でも扱うべき問題だと思う
多くの人は動画よりテキストを好むので、関連資料を残しておく
ブログ: Bluetooth Headphone Jacking - Full Disclosure
ホワイトペーパー: ERNW Publications
多くのメーカーは設定制御のために独自のUUIDサービスを使っている
Android向けには Gadgetbridge のようなオープンクライアントがあるが、Linux向けはよくわからない
Jabraの対応が速かったのは驚きではない。企業市場中心で セキュリティ感度 が高いからだ
Sonyはいまや消費者中心のブランドなので、対応が遅いように見える
2020年の AndroPods と、2024年の LibrePods だ
ただしAndroidの Bluetoothスタックのバグ のため、root権限がないとコマンドを実行できない
関連イシュー: Google Issue Tracker
OpenBSDがBluetoothを開発しないと言ったときは皆が怒ったが、今見るとそれは賢明な判断だった
Bluetoothは 複雑で脆い標準 であり、Sony WH1000のような高級機も例外ではない
私もAirPods ProとWH1000-XM5を使っているが、Bluetoothは結局「ハックの上に成り立つハック」だとわかっていた
信号強度すら表示されないなど、内部状態をのぞき込む方法がほとんどない
セキュリティメールさえ機能していなかったという
心配事がひとつ減る
Sony WH-1000XM4の最新ファームウェアでホワイトペーパーの手順を再現してみたが、コマンド応答がなかったり、エラーが返ってきたりする
完全には断言できないが、修正済みのように見える
要するに、複数メーカーのヘッドセットが Bluetooth ClassicとBLEの両方で脆弱 だということ
認証なしで動作する RACEプロトコル を使っており、それによってメモリダンプや鍵の窃取が可能になる
攻撃者はその鍵で機器を 偽ヘッドセットに偽装 し、スマートフォンへアクセスできる
通話の応答やマイク盗聴も可能で、二要素認証の回避 にまでつながりうる
緩和策は、脆弱な機器を使わないかBluetoothをオフにすることしかない
車載用チップセットにも同じ問題があるのか気になる
結局 3.5mmジャック をなくしたのはAppleが始まりだった。公式の理由は「防水」だった
今ではジャック付きのハイエンドスマホを見つけるのは難しい
その代わり USB-Cヘッドホン のエコシステムが広がり、高品質DACドングルも代替手段になった
関連一覧: USB-C Headphones
動画はまだ見ていないが、ページの文言だけでも 機器の完全掌握 レベルの脆弱性だとわかる
攻撃者がヘッドホン経由でスマートフォンまで攻撃できる点が特に印象的だ
発表では脆弱性の概要、影響、パッチ工程の難しさ、そして ファームウェア修正ツール の公開まで扱っている
その後、攻撃者は信頼された周辺機器の権限でスマートフォンを操作できる
出典: HNコメント
Razerには言及がなかったが、Blackshark V3 Proトランスミッター にAiroha AB1571DNチップが使われている
ヘッドセット側は不明で、ファームウェアアップデート履歴も見つけにくい
副大統領 Kamala Harris が最近のインタビューで「ワイヤレスイヤホンは安全ではない」と話していたことがある
動画リンク
Bluetoothはもともと セキュリティが低い技術 で、ほとんどの実装が脆い
参考動画: YouTubeリンク
ユーザーが接続の安全性を確認しづらく、PINベース認証 も不便だ
関連論文: arXiv論文
デモ中に人々が 電話番号へいたずら電話をかけて 妨害したのは残念だった
この発表によって、一部の 国家機関 は不都合になるかもしれない