کشف ۳ آسیب‌پذیری خطرناک در تراشه بلوتوث هدفون‌های سونی و JBL | هشدار امنیتی: امکان شنود مکالمات از طریق هدفون‌های بی‌سیم محبوب

محققان امنیتی خبر کشف 3 آسیب‌پذیری مهم در  تراشه بلوتوث ، Airoha، را منتشر کرده‌اند. این تراشه در هدفون‌ها، میکروفون‌ها و اسپیکرهای بی‌سیم برندهایی ازجمله  سونی  و  JBL  استفاده شده است. به گفته محققان، این آسیب‌پذیری‌ها به هکرها اجازه می‌دهند مکالمه‌های کاربران را  شنود  کنند یا به  اطلاعات حساسی  مانند تاریخچه تماس‌ها و مخاطبین آنها دسترسی داشته باشند.این آسیب‌پذیری‌ها را شرکت امنیت سایبری ERNW در جریان کنفرانس امنیتی TROOPERS در آلمان افشا کرده است. محققان این شرکت می‌گویند هرچند سوءاستفاده از این آسیب‌پذیری‌ها به دانش فنی بالا و نزدیکی فیزیکی نیاز دارند، همچنان می‌توانند سناریوهای خطرناکی برای کاربران بسازند.

این نقص‌ها با شناسه‌های CVE-2025-20700 ،CVE-2025-20701 و CVE-2025-20702 ثبت شده‌اند و به مهاجمان امکان می‌دهند کنترل دستگاه صوتی آسیب‌پذیری را در دست گرفته و حتی در برخی موارد به تاریخچه تماس‌ها و مخاطبین دست پیدا کنند.

محققان ERNW می‌گویند با سوءاستفاده از یکی از این نقص‌ها، موفق شده‌اند به محتوای درحال پخش از هدفون کاربر هدف دسترسی پیدا کنند که تصویر بالا همین اتفاق را نشان می‌دهد.

از سونی تا JBL؛ برندهایی که از این تراشه بلوتوث استفاده می‌کنند

در میان برندهایی که محصولات آنها تحت‌تأثیر این آسیب‌پذیری‌ها قرار گرفته‌اند، برندهای شناخته‌شده‌ای مانند  سونی ،  Jabra  و  JBL  دیده می‌شوند. محصولات شرکت‌های دیگری ازجمله Bose ،MoerLabs ،Beyerdynamic و Marshall هم چنین شرایطی دارند.

محققان موفق شده‌اند با استخراج کلید اتصال بلوتوث از حافظه دستگاه، تماس‌هایی با شماره دلخواه بگیرند یا صدای محیط اطراف گوشی را بشنوند. به گفته ERNW، در بعضی موارد، حتی امکان بازنویسی فریم‌ور دستگاه و اجرای کد از راه دور نیز وجود دارد که این موضوع می‌تواند به ایجاد بدافزارهایی با قابلیت گسترش بین دستگاه‌ها منجر شود.

البته اجرای این نوع حملات در مقیاس وسیع محدودیت‌هایی دارد؛ مانند نیاز به نزدیکی فیزیکی و دانش فنی بالا. محققان می‌گویند این حملات بیشتر برای هدف گرفتن افراد مهم، مانند روزنامه‌نگاران، فعالان، دیپلمات‌ها یا کسانی در صنایع حساس فعالیت می‌کنند، کاربرد دارد.

هرچند این آسیب‌پذیری‌ها از نظر فنی جدی‌اند، طبق گزارش PCWorld تاکنون هیچ شواهدی درباره سوءاستفاده گسترده از آنها در دنیای واقعی مشاهده نشده است.شرکت Airoha اکنون نسخه جدیدی از کیت توسعه نرم‌افزاری (SDK) خود را منتشر کرده که شامل اصلاحیه‌های امنیتی لازم است اما طبق بررسی رسانه آلمانی Heise، به‌روزرسانی فریم‌ور برای نیمی از دستگاه‌های آسیب‌پذیر تا پیش از 27 مه (پیش از عرضه SDK جدید) منتشر شده و هنوز مشخص نیست این آپدیت‌ها شامل اصلاحیه‌های موردنظر هستند یا خیر.