Hack tai nghe Bluetooth: con đường mới để xâm nhập smartphone

 (media.ccc.de)
16 điểm bởi GN⁺ 2026-01-02 | 1 bình luận | Chia sẻ qua WhatsApp
  • Các lỗ hổng trong chip âm thanh Bluetooth có thể khiến tai nghe bị chiếm quyền hoàn toàn, từ đó mở rộng đường tấn công sang cả smartphone đã kết nối
  • Tai nghe/earbud của các thương hiệu lớn như Sony, Marshall, Jabra được xác nhận là bị ảnh hưởng
  • Phát hiện ba lỗ hổng CVE-2025-20700, CVE-2025-20701, CVE-2025-20702 trong Bluetooth audio SoC của Airoha được dùng trong các sản phẩm này
  • Bằng cách lợi dụng việc tai nghe là thiết bị ngoại vi Bluetooth đáng tin cậy, nhóm nghiên cứu đã chứng minh khả năng tấn công smartphone thông qua RACE, một giao thức Bluetooth tùy biến cho phép truy cập firmware và bộ nhớ
  • Cảnh báo rằng bảo mật của thiết bị ngoại vi Bluetooth có thể trở thành điểm yếu mới của bảo mật smartphone

Tổng quan về các lỗ hổng trong chip Airoha

  • Nhóm nghiên cứu phát hiện ba lỗ hổng CVE-2025-20700, CVE-2025-20701, CVE-2025-20702 trong chip âm thanh Bluetooth phổ biến do Airoha phát triển
    • Các chip này được dùng rộng rãi trong tai nghe Bluetooth và earbud của nhiều nhà sản xuất
  • Các lỗ hổng có thể cho phép chiếm quyền hoàn toàn thiết bị, và bản trình diễn đã cho thấy tác động tức thì bằng tai nghe thế hệ mới nhất
  • Kẻ tấn công có thể nhắm đến các thiết bị có quan hệ tin cậy như smartphone đã ghép cặp làm mục tiêu tấn công thứ cấp

Giao thức RACE và truy cập firmware

  • Trong quá trình nghiên cứu, một giao thức Bluetooth tùy biến mạnh mẽ có tên RACE đã được phát hiện
    • Giao thức này cung cấp khả năng đọc và ghi dữ liệu vào flash và RAM của tai nghe
  • Điều này mở ra khả năng đọc, sửa đổi hoặc tùy biến firmware
    • Từ đó, có thể tấn công smartphone đã ghép cặp thông qua tai nghe Bluetooth bị nhiễm
    • Nếu Bluetooth Link Key bị đánh cắp, có thể mạo danh thiết bị ngoại vi
    • Chính cấu trúc smartphone tin tưởng thiết bị ngoại vi đã trở thành một vector tấn công
  • Nhóm nghiên cứu đã tận dụng khả năng này để tạo nền tảng cho vá bảo mật và mở rộng nghiên cứu

Nhà sản xuất và sản phẩm bị ảnh hưởng

  • Các thiết bị được nhắc đến là bị ảnh hưởng gồm Sony (WH1000-XM5, WH1000-XM6, WF-1000XM5), Marshall (Major V, Minor IV), Beyerdynamic (AMIRON 300), Jabra (Elite 8 Active)
  • Airoha là nhà cung cấp Bluetooth SoC cùng reference design và SDK
    • Nhiều thương hiệu âm thanh nổi tiếng phát triển sản phẩm dựa trên Airoha SoC và SDK
    • Đặc biệt, hãng này có thị phần cao trong thị trường TWS (True Wireless Stereo)

Nhận thức của người dùng và vấn đề cập nhật bảo mật

  • Nhóm nghiên cứu chỉ ra rằng một số nhà sản xuất đã không cung cấp đầy đủ thông tin về lỗ hổng và bản cập nhật bảo mật cho người dùng
  • Mục tiêu của bài trình bày là thông báo cho người dùng về vấn đề này và công khai chi tiết kỹ thuật để các nhà nghiên cứu có thể tiếp tục nghiên cứu bảo mật thiết bị dựa trên Airoha
  • Cùng với bài trình bày, công cụ kiểm tra thiết bị có bị ảnh hưởng hay khôngcác công cụ phân tích dành cho nhà nghiên cứu cũng đã được công bố

Hàm ý chung đối với bảo mật thiết bị ngoại vi Bluetooth

  • Khi bảo mật smartphone ngày càng được tăng cường, kẻ tấn công có thể chuyển trọng tâm sang thiết bị ngoại vi (tai nghe, earbud, v.v.)
  • Nếu Bluetooth Link Key bị đánh cắp, kẻ tấn công có thể giả mạo thiết bị ngoại vi để truy cập các chức năng của smartphone
  • Vì vậy, việc tăng cường bảo mật và quản lý lỗ hổng cho thiết bị ngoại vi Bluetooth là rất quan trọng

Bài viết liên quan

1 bình luận

 
GN⁺ 2026-01-02
Ý kiến trên Hacker News

  • Mừng vì cuối cùng bài này cũng được chú ý
    Đây là nội dung được trình bày gần đây tại 39C3 ở Hamburg, cho thấy các tai nghe Bluetooth phổ biến dùng Airoha SoC có thể bị chiếm quyền hoàn toàn chỉ với một laptop Linux mà không cần xác thực (CVE-2025-20700~20702)
    Có thể truy cập firmware dump, thiết lập người dùng, khóa phiên, thậm chí cả bài đang phát hiện tại
    Các thương hiệu bị ảnh hưởng gồm Sony(WH1000-XM5/XM6, WF-1000XM5), Marshall(Major V, Minor IV), Beyerdynamic(AMIRON 300), Jabra(Elite 8 Active) v.v.
    Phần lớn nhà sản xuất phản ứng chậm, nhưng Jabra là ngoại lệ khi xử lý rất nhanh
    Điều thú vị là, bất chấp lỗ hổng này, giao thức Bluetooth LE “RACE” của Airoha nhiều khả năng vẫn sẽ tiếp tục được dùng
    Nhờ đó người dùng Linux có cơ hội kiểm soát tai nghe chi tiết hơn
    Ví dụ như tự động chuyển chế độ “hearthrough” khi tắt tiếng
    Công cụ liên quan: RACE Reverse Engineered - CLI Tool
    Tôi nghĩ mức độ nghe lén âm thanh từ xa như thế này là vấn đề cần được xem xét ở cấp độ an ninh quốc gia

    • Tôi là một trong các nhà nghiên cứu
      Vì nhiều người thích văn bản hơn video, nên tôi để lại tài liệu liên quan
      Blog: Bluetooth Headphone Jacking - Full Disclosure
      Whitepaper: ERNW Publications
    • Sony chưa đưa ra thông báo chính thức, nhưng người dùng ứng dụng có lẽ đã nhận được thông báo cập nhật firmware được phát hành âm thầm
      Hầu hết nhà sản xuất dùng dịch vụ UUID riêng để điều khiển thiết lập
      Trên Android thì có các client mở như Gadgetbridge, nhưng trên Linux thì tôi không rõ
    • Tôi cũng không hay xem video kỹ thuật, nên gần như không upvote các link YouTube
    • Nếu còn có thể phát âm thanh thì đúng là giấc mơ của dân thích phá phách
      Việc Jabra phản ứng nhanh không có gì lạ. Họ tập trung vào thị trường doanh nghiệp nên độ nhạy với bảo mật cao hơn
      Còn Sony giờ là thương hiệu thiên về người tiêu dùng nên có vẻ phản ứng chậm hơn
    • Đã có ứng dụng reverse engineer giao thức liên lạc của AirPods
      Đó là AndroPods năm 2020 và LibrePods năm 2024
      Nhưng do lỗi Bluetooth stack của Android nên nếu không có quyền root thì không thể thực thi lệnh
      Vấn đề liên quan: Google Issue Tracker

  • Khi OpenBSD nói sẽ không phát triển Bluetooth, ai cũng nổi giận, nhưng giờ nhìn lại thì đó là quyết định sáng suốt
    Bluetooth là một tiêu chuẩn phức tạp và lỏng lẻo, ngay cả thiết bị cao cấp như Sony WH1000 cũng không ngoại lệ
    Tôi cũng dùng AirPods Pro và WH1000-XM5, nhưng vốn đã biết Bluetooth rốt cuộc là kiểu 'hack chồng lên hack'
    Gần như không có cách nào nhìn vào trạng thái bên trong, đến cả cường độ tín hiệu cũng không hiển thị

    • Đây không phải vấn đề của riêng Bluetooth, mà là do chipset Airoha được xuất xưởng với giao diện debug cho phép đọc bộ nhớ SoC mà không cần xác thực
      Nghe nói ngay cả email bảo mật cũng không hoạt động
    • Tôi còn nghĩ rằng thà truyền âm thanh qua Wi‑Fi còn hơn
      Bớt đi được một mối lo
    • Kết nối bằng cáp đôi khi chỉ là bất tiện nhỏ, nhưng khi dùng màn hình ngoài hay bàn phím thì lại khá phiền
    • Nói “mọi người đều rời OpenBSD” là cường điệu. Vẫn có người dùng như tôi
    • Đến mức có thể đùa rằng vậy chắc cũng phải chặn cả USB, vì vector tấn công ở đâu cũng có

  • Tôi đã thử tái hiện các bước trong whitepaper với firmware mới nhất của Sony WH-1000XM4, nhưng không nhận được phản hồi lệnh hoặc chỉ thấy lỗi trả về
    Không thể chắc chắn hoàn toàn, nhưng có vẻ đã được vá

  • Tóm lại, tai nghe của nhiều nhà sản xuất đều dễ bị tấn công cả qua Bluetooth Classic lẫn BLE
    Chúng dùng giao thức RACE hoạt động không cần xác thực, cho phép dump bộ nhớ và đánh cắp khóa
    Kẻ tấn công có thể dùng các khóa này để giả danh tai nghe và truy cập điện thoại thông minh
    Việc nhận cuộc gọi, nghe lén micro cũng khả thi, có thể dẫn tới cả vượt qua xác thực hai yếu tố
    Cách giảm thiểu duy nhất là không dùng thiết bị dễ bị tấn công hoặc tắt Bluetooth
    Tôi tự hỏi liệu các chipset dùng trong ô tô có gặp cùng vấn đề không

  • Rốt cuộc, chính Apple là bên khởi đầu việc loại bỏ jack 3.5mm. Lý do chính thức là “chống nước”

    • Khi Apple nói lý do là “courage”, ai cũng cười nhạo, nhưng cuối cùng các hãng khác cũng làm theo
      Giờ rất khó tìm điện thoại cao cấp còn có jack
    • Thực ra vẫn có nhiều điện thoại chống nước mà có jack
    • Apple còn viện dẫn lý do tiết kiệm không gian và chiến lược dài hạn
      Thay vào đó, hệ sinh thái tai nghe USB-C phát triển hơn, và các dongle DAC chất lượng cao cũng trở thành lựa chọn thay thế
      Danh sách liên quan: USB-C Headphones
    • Dạo này gần như không còn thấy ai dùng tai nghe có dây. Cảm giác như người vẫn khăng khăng chỉ dùng CD vậy

  • Tôi vẫn chưa xem video, nhưng chỉ nhìn phần mô tả trên trang cũng đủ thấy đây là lỗ hổng ở mức chiếm toàn quyền thiết bị
    Điều đặc biệt ấn tượng là kẻ tấn công có thể đi từ tai nghe sang cả điện thoại thông minh
    Bài trình bày đề cập tới tổng quan lỗ hổng, tác động, khó khăn trong quá trình vá, và cả việc công bố công cụ chỉnh sửa firmware

    • Nhìn vào tóm tắt các bước tấn công thì,
      1. Kết nối ở cự ly gần
      2. Dump bộ nhớ mà không cần xác thực
      3. Trích xuất Bluetooth Link Key từ bản dump
      4. Dùng khóa đã trích xuất để kết nối vào điện thoại như tai nghe giả
        Sau đó kẻ tấn công có thể điều khiển điện thoại với quyền của một thiết bị ngoại vi đáng tin cậy
        Nguồn: bình luận HN

  • Razer không được nhắc đến, nhưng Blackshark V3 Pro transmitter dùng chip Airoha AB1571DN
    Phía tai nghe thì chưa rõ, và cũng khó tìm lịch sử cập nhật firmware

  • Phó tổng thống Kamala Harris gần đây từng nói trong một cuộc phỏng vấn rằng “tai nghe không dây không an toàn”
    Link video

    • Không có ý chính trị gì, nhưng tôi không tin phát biểu của Harris
      Bluetooth vốn dĩ là công nghệ bảo mật kém, và phần lớn các triển khai đều lỏng lẻo
      Video tham khảo: YouTube link
    • Bảo mật Bluetooth nói chung là yếu
      Người dùng khó xác minh độ an toàn của kết nối, còn xác thực dựa trên PIN thì cũng bất tiện
      Bài báo liên quan: bài arXiv
    • Điều Harris nói có vẻ không phải về một lỗ hổng cụ thể, mà là một biện pháp chính sách phản ánh nhận thức về khả năng rủi ro này
    • Có vẻ lỗ hổng này đã được công khai vào khoảng tháng 6, nên tôi tò mò không biết thời điểm phỏng vấn là trước đó hay sau đó

  • Thật đáng tiếc khi trong lúc demo, mọi người lại gọi điện quấy rối bằng số điện thoại để phá ngang

  • Bài trình bày này có thể khiến một số cơ quan nhà nước thấy khó chịu

    • Nhưng cũng có quốc gia có thể lại rất vui, tùy vào việc ai đã biết về lỗ hổng này từ trước