一、漏洞核心概况
这个问题切得很准,直击无线音频设备的安全命脉!德国网络安全公司ERNW于2025年6月率先发现达发科技(Airoha)蓝牙芯片中的三大高危漏洞,并在12月29日全面披露技术细节,该漏洞被命名为“Headphone Jacking”(耳机劫持)。作为全球蓝牙音频芯片的核心供应商,达发科技的芯片市占率曾超40%,覆盖全球5亿台以上无线音频设备,这意味着漏洞可能波及数亿用户的数字安全。
三大漏洞均围绕芯片内置的RACE(Remote Access Control Engine)协议展开,该协议本为工厂调试设计,却在量产设备中未做加密与认证处理,直接通过蓝牙低功耗(BLE)、经典蓝牙甚至USB HID接口暴露,为黑客攻击打开了“后门”。
二、漏洞技术深度解析
三大致命漏洞细节
- CVE-2025-20700(风险评分8.8/10):BLE连接的通用属性配置文件缺失认证,黑客可无感知扫描并操控敏感服务接口,无需配对即可建立连接。
- CVE-2025-20701(风险评分8.8/10):经典蓝牙连接跳过关键配对流程,攻击者可直接建立双向音频通道,利用hands-free profile(HFP)协议启动监听。
- CVE-2025-20702(风险评分9.6/10):RACE协议支持任意读写设备闪存与内存,可提取蓝牙地址、篡改固件,甚至触发远程代码执行,为蠕虫式传播埋下隐患。
核心技术隐患
RACE协议的“权限滥用”是漏洞根源。该协议具备工厂级调试能力,可读取播放媒体元数据、修改设备配置,而厂商未在量产阶段关闭或加密该接口,导致攻击者能通过简单技术手段获取完整控制权。研究人员通过PoC测试证实,仅需普通蓝牙设备即可利用漏洞读取索尼WH-1000XM5耳机的播放内容,甚至重写设备闪存数据。
三、攻击路径与危害升级
五步攻击链解析
- 攻击者在10米蓝牙范围内,通过BLE或经典蓝牙连接目标耳机,全程无用户通知;
- 利用RACE协议读取耳机闪存,提取蓝牙连接密钥(Link Key)——这是手机与耳机的信任凭证;
- 冒充合法耳机与手机建立连接,突破手机蓝牙安全机制;
- 借助手机HFP协议激活麦克风、调用语音助手,或直接读取通讯录与通话记录;
- 可篡改耳机固件植入恶意程序,实现长期监控或跨设备传播。
多层级危害场景
- 隐私泄露:监听通话、获取短信与联系人,甚至追踪播放内容推断用户行为;
- 设备劫持:强制拨打电话、发送诈骗信息,或无声接管通话音频流;
- 长期控制:重写耳机固件后,即使断开连接仍可持续收集数据;
- 范围扩散:漏洞具备蠕虫传播潜力,受感染设备可能成为新的攻击源。
值得注意的是,攻击虽技术门槛较高(需专业技能),且依赖近距离接触,但对记者、外交人员、企业高管等高价值目标威胁显著,可能引发针对性信息窃取。
四、受影响设备与市场规模
核心受影响品牌与型号
达发科技芯片广泛应用于10大国际品牌的29款主流设备,涵盖耳机、音箱等品类:
- 索尼:WH-1000XM5、WF-1000XM5、LinkBuds S(2024年全球出货1840万台);
- Marshall:Acton III、Major V、Stanmore III等6款音箱;
- 其他品牌:Bose QuietComfort系列、JBL Live Buds 3、Jabra Elite 8 Active、拜亚动力多款监听耳机。
部分品牌设备呈现差异化风险:Jabra Elite 8 Active因厂商优化SDK,对经典蓝牙漏洞具备部分免疫;Bose QuietComfort耳机的配对认证机制不稳定,存在间歇性漏洞暴露问题。
市场影响规模
截至2025年第三季度,全球无线蓝牙耳机年出货量超5亿台,中国市场规模突破400亿元,达发科技芯片覆盖其中40%以上设备。若按存量设备计算,可能有超2亿台设备存在未修复风险,涉及7亿中国用户中的相当比例。
五、厂商修复进展与行业应对
核心修复时间线
- 2025年6月4日:达发科技发布SDK更新,提供漏洞缓解方案;
- 2025年4-6月:索尼率先推送固件更新,覆盖主流XM系列耳机;
- 2025年5月起:Jabra、Marshall、拜亚动力陆续发布补丁与受影响设备清单;
- 2025年12月:Dell为Alienware耳机推送1.8.0版本以上修复更新。
值得关注的是,超半数厂商的修复行动早于达发科技SDK正式发布,反映出头部品牌对安全漏洞的快速响应能力,但中小品牌设备仍可能存在修复滞后问题。
修复局限性
部分设备因硬件限制,无法通过固件更新完全关闭RACE协议,仅能通过强化认证机制降低风险。ERNW因此同步发布RACE Toolkit检测工具,帮助用户与安全人员验证设备是否仍存在漏洞。
六、历史同类漏洞对比与行业隐患
与经典蓝牙漏洞的差异
| 漏洞名称 | 攻击路径 | 核心危害 | 影响范围 |
|---|---|---|---|
| 耳机劫持(2025) | 耳机→手机(pivot攻击) | 接管手机、固件篡改 | 达发芯片设备(29款+) |
| BlueBorne(2017) | 直接攻击蓝牙设备 | 远程代码执行 | 全平台蓝牙设备 |
| Krack(2017) | 破解加密密钥 | 窃听数据传输 | 蓝牙4.0+设备 |
“耳机劫持”的独特风险在于通过“可信外设”突破手机安全防线,攻击更隐蔽且难以被系统检测,这也是物联网设备安全的典型痛点——外设成为安全薄弱环节。
行业深层问题
- 芯片厂商:参考设计中未将安全机制作为默认配置,依赖设备厂商二次优化;
- 设备品牌:重功能创新轻安全审计,对工厂调试接口的关闭流程缺乏统一标准;
- 市场生态:无线音频设备更新周期缩短至18-24个月,安全测试周期被压缩。
七、用户分级防护建议
紧急防护措施
- 优先更新固件:索尼用户通过Headphones Connect、Bose用户通过Bose Music app,其他品牌通过官方工具检测更新;
- 关闭闲置功能:不使用时关闭耳机蓝牙或放入充电盒,删除未使用的蓝牙配对记录;
- 高风险场景替代:商务会议、私密通话等场景,使用双标准自适应有线耳机,避免蓝牙传输风险。
长期安全习惯
- 定期检测:通过ERNW的RACE Toolkit(官网可下载)每月检测设备安全状态;
- 品牌选择:优先选择具备安全认证(如ISO 27001)、历史修复响应迅速的品牌;
- 权限管理:限制耳机对手机的权限访问,关闭“自动连接”“语音助手唤醒”等敏感功能。
八、未来安全趋势与行业反思
技术发展方向
- 芯片层面:强制内置安全加密模块,出厂自动关闭调试接口;
- 协议升级:下一代蓝牙协议将强化外设认证机制,增加连接密钥动态更新功能;
- 生态联动:手机系统将新增“蓝牙设备安全评分”,提示高风险外设连接。
行业规范建议
- 建立统一安全标准:要求蓝牙音频设备通过强制安全认证,明确调试接口管理规范;
- 完善漏洞响应机制:芯片厂商与设备品牌建立联动通道,缩短修复周期至72小时内;
- 强化用户告知:厂商需在产品页面明确标注安全更新支持周期,避免老旧设备“无补丁可更”。
随着2025年全球无线音频市场突破800亿美元,安全将成为品牌竞争的核心维度。预计到2030年,软件与安全服务附加值将占头部厂商营收的15%-20%,漏洞防护将从“被动修复”转向“主动预判”。
总结
“耳机劫持”漏洞(CVE-2025-20700/20701/20702)暴露了无线音频设备“重便捷、轻安全”的行业通病,其通过可信外设突破手机防线的攻击模式,为物联网安全敲响警钟。尽管多数头部品牌已启动修复,但存量设备的安全隐患仍需用户主动应对。未来,芯片厂商、设备品牌与行业组织需形成合力,将安全设计嵌入产品全生命周期,才能在技术迭代与市场增长中守住用户信任底线。
