Lỗ hổng CVE nghiêm trọng: Nguy cơ xâm nhập mạng nguy hiểm

Các nhà nghiên cứu bảo mật vừa công bố một loạt các **lỗ hổng CVE** nghiêm trọng ảnh hưởng đến tai nghe và tai nghe không dây Bluetooth được sử dụng rộng rãi. Các lỗ hổng này có thể cho phép kẻ tấn công nghe lén cuộc trò chuyện, đánh cắp dữ liệu nhạy cảm và thậm chí chiếm quyền điều khiển các điện thoại thông minh được kết nối.

Các lỗ hổng, được định danh là CVE-2025-20700, CVE-2025-20701 và CVE-2025-20702, ảnh hưởng đến các thiết bị sử dụng chipset Bluetooth System-on-Chips (SoCs) của Airoha. Các chipset này được tích hợp trong sản phẩm của nhiều nhà sản xuất lớn như Sony, Bose, JBL, Marshall và Jabra.

Mặc dù các lỗ hổng đã được công bố từ tháng 6 năm 2025, cho phép các nhà cung cấp thời gian để phát triển bản vá. Tuy nhiên, sau sáu tháng, nhiều thiết bị vẫn chưa được vá.

Điều này đã thúc đẩy các nhà nghiên cứu công bố chi tiết kỹ thuật đầy đủ, cùng với một báo cáo white paper và RACE Toolkit. Bộ công cụ này cho phép người dùng và chuyên gia bảo mật kiểm tra xem thiết bị của họ có bị ảnh hưởng hay không.

Nội dung

Kiến Trúc Airoha và Giao Thức RACE

Mục Đích và Rủi Ro Tiềm Ẩn của RACE

Phân Tích Chi Tiết Các **Lỗ Hổng CVE**

CVE-2025-20700: Thiếu Xác Thực GATT trên Bluetooth Low Energy

CVE-2025-20701: Thiếu Xác Thực trên Bluetooth Classic

CVE-2025-20702: Khả Năng Khai Thác Giao Thức RACE

Chuỗi Tấn Công và **Xâm Nhập Mạng** Smartphone

Các Vector Tấn Công Khả Thi

Danh Sách Thiết Bị Bị Ảnh Hưởng Đã Được Xác Minh

Phản Hồi Từ Các Nhà Cung Cấp và Biện Pháp Khắc Phục

Biện Pháp Phòng Ngừa **Rủi Ro Bảo Mật**

Đối Với Người Dùng

Đối Với Nhà Sản Xuất

Kiến Trúc Airoha và Giao Thức RACE

Airoha là một nhà cung cấp SoC Bluetooth hàng đầu, đặc biệt phổ biến trong phân khúc tai nghe True Wireless Stereo (TWS). Công ty này cung cấp các thiết kế tham chiếu và triển khai SDK mà các nhà sản xuất tích hợp vào sản phẩm cuối cùng của họ.

Các nhà nghiên cứu tại ERNW đã phát hiện ra rằng các thiết bị dựa trên Airoha phơi bày một giao thức tùy chỉnh được gọi là RACE (Remote Access Control Engine) qua nhiều giao diện khác nhau. Các giao diện này bao gồm Bluetooth Low Energy, Bluetooth Classic và kết nối USB HID.

Mục Đích và Rủi Ro Tiềm Ẩn của RACE

Giao thức RACE ban đầu được thiết kế cho mục đích gỡ lỗi tại nhà máy và cập nhật firmware. Giao thức này cung cấp các khả năng mạnh mẽ như đọc và ghi các vị trí bộ nhớ tùy ý trong cả bộ nhớ flash và RAM.

Mặc dù hữu ích cho nhà sản xuất, việc phơi bày giao thức này mà không có cơ chế bảo mật đầy đủ đã tạo ra một rủi ro bảo mật nghiêm trọng. Điều này biến giao thức gỡ lỗi thành một điểm yếu tiềm tàng cho các cuộc tấn công.

Phân Tích Chi Tiết Các Lỗ Hổng CVE

CVE-2025-20700: Thiếu Xác Thực GATT trên Bluetooth Low Energy

Lỗ hổng đầu tiên, CVE-2025-20700, liên quan đến việc thiếu xác thực cho các dịch vụ GATT (Generic Attribute Profile) qua Bluetooth Low Energy (BLE). Kẻ tấn công có thể phát hiện và kết nối với các tai nghe dễ bị tấn công trong phạm vi Bluetooth mà không cần ghép nối.

Điều này cho phép kẻ tấn công truy cập âm thầm vào giao thức RACE. Kết nối này thường xảy ra mà không có thông báo cho người dùng, làm cho cuộc tấn công hoàn toàn ẩn danh và khó phát hiện.

CVE-2025-20701: Thiếu Xác Thực trên Bluetooth Classic

CVE-2025-20701 giải quyết vấn đề thiếu xác thực cho các kết nối Bluetooth Classic. Mặc dù các kết nối này đôi khi dễ nhìn thấy hơn và có thể làm gián đoạn luồng âm thanh. Tuy nhiên, quyền truy cập không xác thực vẫn cho phép kẻ tấn công thiết lập kết nối âm thanh hai chiều.

Khả năng này tiềm ẩn nguy cơ nghe lén qua microphone của thiết bị bằng cách sử dụng Hồ sơ Rảnh tay (Hands-Free Profile – HfP).

CVE-2025-20702: Khả Năng Khai Thác Giao Thức RACE

Lỗ hổng thứ ba, CVE-2025-20702, liên quan đến các khả năng quan trọng được phơi bày thông qua chính giao thức RACE. Các lệnh cụ thể cho phép kẻ tấn công thực hiện các thao tác sau:

Truy xuất thông tin thiết bị.
Đọc các trang bộ nhớ flash.
Thực hiện các hoạt động đọc/ghi tùy ý trên RAM.
Thu thập địa chỉ Bluetooth Classic của thiết bị.

Những khả năng này cho phép kẻ tấn công sửa đổi thiết bị và trích xuất dữ liệu cấu hình nhạy cảm một cách vĩnh viễn.

Chuỗi Tấn Công và Xâm Nhập Mạng Smartphone

Tác động nghiêm trọng nhất xảy ra khi kẻ tấn công kết hợp các lỗ hổng này để chiếm đoạt điện thoại thông minh đã kết nối. Trình tự tấn công bắt đầu bằng việc kẻ tấn công kết nối với tai nghe ở gần qua BLE hoặc Bluetooth Classic.

Sau đó, kẻ tấn công sử dụng giao thức RACE để đổ bộ nhớ flash của thiết bị. Bộ nhớ này chứa một bảng kết nối với thông tin thiết bị đã ghép nối, bao gồm cả Link Key mã hóa được sử dụng để xác thực lẫn nhau giữa tai nghe và điện thoại.

Với Link Key này, kẻ tấn công có thể giả mạo tai nghe đáng tin cậy và kết nối với điện thoại thông minh của nạn nhân từ một vị trí đặc quyền. Điều này mở ra nhiều vector tấn công khác nhau, theo nghiên cứu của ERNW (Insinuator.net).

Các Vector Tấn Công Khả Thi

Trích xuất số điện thoại và danh bạ của nạn nhân.
Kích hoạt trợ lý giọng nói như Siri hoặc Google Assistant để gửi tin nhắn hoặc thực hiện cuộc gọi.
Chiếm quyền điều khiển các cuộc gọi đến.
Thiết lập kết nối nghe lén bằng microphone bên trong điện thoại.

Các nhà nghiên cứu đã trình diễn các cuộc tấn công proof-of-concept thành công, chiếm đoạt tài khoản WhatsApp và Amazon. Điều này nhấn mạnh mức độ nghiêm trọng thực tế của các **lỗ hổng CVE** này.

Danh Sách Thiết Bị Bị Ảnh Hưởng Đã Được Xác Minh

Mặc dù danh sách đầy đủ các sản phẩm bị ảnh hưởng vẫn chưa rõ ràng, các nhà nghiên cứu đã xác nhận lỗ hổng trên nhiều thiết bị phổ biến. Các thiết bị được xác minh bao gồm:

Một số tai nghe dòng Sony WH và WF (bao gồm các mẫu flagship WH-1000XM5 và WF-1000XM5).
Bose QuietComfort Earbuds.
JBL Live Buds 3.
Marshall MAJOR V và MINOR IV.
Các mẫu khác từ Beyerdynamic, Jabra và Teufel.

Phản Hồi Từ Các Nhà Cung Cấp và Biện Pháp Khắc Phục

Một số nhà sản xuất đã phát hành các bản cập nhật firmware để khắc phục những vấn đề này. Jabra đã thể hiện sự minh bạch đáng chú ý khi công khai liệt kê các thiết bị bị ảnh hưởng trong trung tâm bảo mật của họ và đề cập đến số CVE trong ghi chú phát hành firmware.

Marshall và Beyerdynamic cũng đã phát hành các bản cập nhật, mặc dù thông tin sẵn có khác nhau đáng kể giữa các nhà cung cấp.

Biện Pháp Phòng Ngừa Rủi Ro Bảo Mật

Đối Với Người Dùng

Người dùng nên cập nhật tai nghe Bluetooth của mình ngay lập tức thông qua ứng dụng hoặc trang web của nhà sản xuất. Đối tượng có giá trị cao như nhà báo, nhà ngoại giao và chính trị gia nên xem xét chuyển sang tai nghe có dây để loại bỏ các vector tấn công dựa trên Bluetooth.

Ngoài ra, người dùng cũng nên xem xét và xóa các thiết bị đã ghép nối không sử dụng từ điện thoại của mình để giảm thiểu số lượng Link Key có khả năng bị xâm phạm.

# Ví dụ về việc xóa thiết bị Bluetooth đã ghép nối trên Android (có thể thay đổi tùy phiên bản)Settings > Connected devices > Connection preferences > Bluetooth > Previously connected devicesSelect device > Forget# Ví dụ trên iOSSettings > BluetoothSelect (i) icon next to device > Forget This Device

Đối Với Nhà Sản Xuất

Các nhà sản xuất phải áp dụng các bản vá SDK của Airoha ngay lập tức và tiến hành đánh giá bảo mật kỹ lưỡng trước khi phát hành sản phẩm. Việc tuân thủ các phương pháp kiểm tra bảo mật Bluetooth đã được thiết lập có thể ngăn chặn các **lỗ hổng CVE** tương tự trong các thiết bị tương lai.