Обнаружена брешь в защите: наушники Sony, JBL и Bose уязвимы для несанкционированного доступа

Исследовательская группа по кибербезопасности Ernw из Германии обнародовала 26 июня 2025 года информацию о серьезных недостатках безопасности в широком спектре Bluetooth-аудиоустройств. Специалисты идентифицировали три критические уязвимости, зарегистрированные под кодами CVE-2025-20700, CVE-2025-20701 и CVE-2025-20702, которые присутствуют в электронных компонентах тайваньской фирмы Airoha.

Технический анализ выявил незащищенность протокола взаимодействия с пользователем, что создает брешь в системе безопасности. Потенциальный нарушитель, находящийся в зоне действия беспроводного соединения (приблизительно десять метров), может беспрепятственно получить доступ к внутренним системам устройства без предварительной авторизации или процедуры сопряжения. Эта техническая особенность открывает возможности для несанкционированного чтения и модификации внутренней памяти гаджета.

Практическая демонстрация уязвимости включала перехват защищенного канала коммуникации между мобильным телефоном и аудиогарнитурой. Извлекая ключевые параметры Bluetooth-соединения из наушников, злоумышленник способен имитировать устройство при взаимодействии со смартфоном, а затем задействовать стандартный протокол Hands-Free для осуществления контроля над телефонным аппаратом.

В рамках исследования было протестировано 29 различных моделей аудиотехники, включая продукцию известных производителей. Среди подтвержденно уязвимых устройств фигурируют наушники и акустические системы брендов Sony, Bose, JBL, Marshall, Jabra и Beyerdynamic.

Компания-разработчик микрочипов Airoha предоставила производителям конечных устройств обновленный программный комплект в первых числах июня. Теперь ответственность за разработку и распространение корректирующих обновлений программного обеспечения лежит на компаниях-производителях аудиотехники.

Технические специалисты Ernw подчеркивают, что реализация подобной атаки требует значительных знаний и физической близости к объекту воздействия. Для рядовых пользователей риск оценивается как невысокий, однако потенциальная угроза существенно возрастает для лиц, представляющих особый интерес: представителей дипломатических миссий, журналистов и руководителей высшего звена.