据媒体报道,一款被广泛应用于二十余款音频设备的蓝牙芯片被发现存在严重安全漏洞,黑客可以利用这些漏洞轻易地将耳机变成窃听器,甚至劫持手机,进而窃取通话记录、联系人信息等敏感信息。
此次被曝光的蓝牙芯片由台湾芯片制造商Airoha 生产,包括索尼、Bose、马歇尔等在内的十大知名音频品牌的 29 款以上设备均受到了影响,涵盖了无线耳机、音箱、头戴式耳机和麦克风等多种常见音频设备。
网络安全公司ERNW 的研究人员在德国举办的 TROOPERS 安全大会上披露了这三处漏洞,它们分别被编号为 CVE-2025-20700、CVE-2025-20701 和 CVE-2025-20702,其中 CVE-2025-20702 因其可能导致的严重后果而被评定为高危漏洞。
攻击者若想利用这些漏洞实施攻击,需满足一定的条件。首先,攻击者必须处于蓝牙通信的有效范围内,通常为10 米左右。其次,攻击者需要具备较高的技术水平和专业工具,以精准地劫持手机与音频蓝牙设备之间的连接,并通过蓝牙免提配置文件向手机发送指令。
一旦攻击成功,黑客不仅能够在手机附近进行窃听,获取私人谈话内容,还可能触发拨打任意号码的呼叫,甚至根据手机设置获取通话记录和联系人列表等重要信息。
目前,Airoha 已迅速采取行动,发布了更新版本的软件开发工具包,其中包含了针对这些漏洞的修复方案。相关设备制造商也正在积极推进补丁的开发和部署工作,以尽快为用户提供更安全的产品和服务。
附:
受影响的部分产品名单。(该名单为部分被披露的型号,具体以企业公布为准)
企业解决方案
Airoha 已发布包含漏洞修复的软件开发工具包(SDK),但终端用户需依赖设备厂商推送固件升级。
索尼:已在官网发布 WH-1000XM5 的补丁,但 XM4 等旧型号仍在测试中;
BOSE:通过 Bose Music 应用推送静默更新,用户需手动检查;
JBL:承诺 7 月中旬前完成全系产品升级。
如何安全使用蓝牙耳机
关闭蓝牙:非必要时禁用蓝牙功能,减少暴露时间;
限制使用场景:避免在公共场合或敏感环境(如会议室)使用受影响设备;
物理隔离:将耳机与手机保持 10 米以上距离,降低被攻击概率。
