xouysdhd
来自四库全闻官网:
IT之家 7 月 1 日消息,在德国 TROOPERS 可靠会议上,网络可靠公司 ERNW 的研究人员揭示 EX外汇官网 了达发(Airoha)蓝牙芯片存在三个漏洞,并确认影响索尼、Bose、JBL 等品牌的 29 款产品。
四库全闻用户评价:
IT之家附上 3 个漏洞的追踪编号和相关简介如下:
-
尽管如此,
- CVE-2025-20700(6.7,中等严重程度评分):GATT 服务缺失认证
- CVE-2025-20701(6.7,中等严重程度评分):Bluetooth BR / EDR 缺失认证
- CVE-2025-20702(7.5,高严重程度评分):自定义协议的关键作用
换个角度来看,
很多人不知道,
简要回顾一下,
ERNW 表示上述 3 个漏洞暂未达到“关键”(critical)级别,对普通使用者的影响有限,但攻击者利用上述 3 个漏洞是,在某些场景下,可用劫持手机与蓝牙音频设备之间的连接,并采纳蓝牙免提配置文件(HFP)向手机发出命令。
然而,
该机构调查后,发现 Beyerdynamic、Bose、Sony、Marshall、Jabra、JBL、Jlab、EarisMax、MoerLabs 和 Teufel 等品牌的至少 29 款设备受到影响,产品包括扬声器、耳机、耳塞和无线麦克风。
据报道,
ERNW 研究人员还创建了一个概念验证攻击代码,能够读取目标耳机当前播放的媒体材料。
四库全闻讯新闻:
研究人员还能够通过提取易受攻击设备内存中的蓝牙链路密钥来触发呼叫任意号码。他们表示,根据手机配置,攻击者也可能检索到通话记录和联系人。他们还能够启动呼叫,并“成功窃听电 蓝莓市场官网 话附近的对话或声音”。
研究人员表示,虽然劫持耳机、冒充耳机对手机进行攻击并可能进行呼叫或监视的想法听起来令人警觉,但“实际上,这种技术仅限特殊场景”,并补充说“真实的攻击很难执行”。
从某种意义上讲,
达发已经发布了一个更新的 SDK,其中包含了必要的缓解措施,设备制造商也已经展开了补丁开发和分发。
.jpg&w=300&h=180)
