近期,德國知名安全機構ERNW的研究人員揭露了一項關于絡達(Airoha)藍牙芯片的重大安全發現,指出這些廣泛植入主流無線耳機與音箱中的芯片潛藏三項安全缺陷。
據研究顯示,位于10至20米范圍內的攻擊者能夠利用這些漏洞,對目標設備執行一系列非法操作。例如,當設備處于待機狀態時,攻擊者通過芯片內置的麥克風,可無聲無息地竊聽周圍對話。他們還能獲取包括聯系人列表、通話記錄及當前播放的媒體信息等敏感數據,具體可獲取的信息量則依賴于設備的型號和軟件版本。
更令人擔憂的是,這三個漏洞(CVE-2025-20700至CVE-20702)賦予了攻擊者繞過藍牙認證流程的能力,這意味著黑客無需設備主人的許可,即可輕松連接至存在漏洞的設備。一旦連接成功,他們便能通過隱藏的芯片協議,讀寫設備內存,甚至操控設備的特定功能。不過,值得注意的是,此類攻擊的有效范圍受限于藍牙的傳輸距離,在無遮擋的理想環境下,其最遠作用距離約為20米。
面對這一嚴峻的安全威脅,絡達公司迅速響應,發布了針對這些漏洞的補丁。然而,這些補丁何時能夠推送至終端用戶設備,則完全依賴于各品牌廠商的行動速度。因此,ERNW建議所有使用受影響型號芯片的用戶,密切關注自己設備品牌的官方公告和支持頁面,耐心等待固件更新的到來。
