Hackeo de audífonos Bluetooth: una nueva ruta de entrada al smartphone

 (media.ccc.de)
16 puntos por GN⁺ 2026-01-02 | 1 comentarios | Compartir por WhatsApp
  • A través de vulnerabilidades en chips de audio Bluetooth, los audífonos pueden quedar completamente comprometidos, y como resultado la ruta de ataque puede extenderse hasta los smartphones conectados
  • Se confirmó que audífonos/earbuds de marcas importantes como Sony, Marshall y Jabra están afectados
  • En el SoC de audio Bluetooth de Airoha se descubrieron tres vulnerabilidades: CVE-2025-20700, CVE-2025-20701, CVE-2025-20702
  • Aprovechando que los audífonos son periféricos Bluetooth de confianza, se demostró la posibilidad de atacar smartphones mediante el protocolo Bluetooth personalizado RACE, que permite acceso a firmware y memoria
  • Se advierte que la seguridad de los periféricos Bluetooth puede convertirse en una nueva debilidad de la seguridad del smartphone

Resumen de las vulnerabilidades en los chips de Airoha

  • El equipo de investigación descubrió tres vulnerabilidades, CVE-2025-20700, CVE-2025-20701 y CVE-2025-20702, en populares chips de audio Bluetooth desarrollados por Airoha
    • Estos chips se usan ampliamente en audífonos y earbuds Bluetooth de varios fabricantes
  • Las vulnerabilidades pueden permitir el control total del dispositivo, y en la demostración se mostró un impacto inmediato usando audífonos de última generación
  • Los atacantes pueden tomar como objetivo secundario dispositivos con relación de confianza, como smartphones emparejados

Protocolo RACE y acceso al firmware

  • Durante la investigación se descubrió un potente protocolo Bluetooth personalizado llamado RACE
    • Este protocolo ofrece funciones de lectura y escritura de datos en la flash y la RAM de los audífonos
  • Esto abre la posibilidad de leer, modificar o personalizar el firmware
    • A través de estos audífonos Bluetooth infectados, sería posible atacar smartphones emparejados
    • Si se roba una Bluetooth Link Key, es posible suplantar un periférico
    • La propia estructura por la que el smartphone confía en el periférico funciona como vector de ataque
  • Los investigadores aprovecharon esta capacidad para sentar las bases de parches de seguridad y una ampliación de la investigación

Fabricantes y productos afectados

  • Entre los dispositivos afectados por las vulnerabilidades se mencionan Sony (WH1000-XM5, WH1000-XM6, WF-1000XM5), Marshall (Major V, Minor IV), Beyerdynamic (AMIRON 300) y Jabra (Elite 8 Active)
  • Airoha es un proveedor de SoC Bluetooth y de diseños de referencia y SDK
    • Muchas marcas de audio reconocidas fabrican productos basados en SoC y SDK de Airoha
    • En particular, tiene una alta cuota de mercado en el segmento TWS (True Wireless Stereo)

Problemas de percepción del usuario y actualizaciones de seguridad

  • Los investigadores señalaron que algunos fabricantes no proporcionaron suficiente información a los usuarios sobre las vulnerabilidades y las actualizaciones de seguridad
  • El objetivo de la presentación es informar a los usuarios del problema y publicar detalles técnicos para que otros investigadores puedan continuar la investigación de seguridad en dispositivos basados en Airoha
  • Junto con la presentación se publicaron una herramienta para verificar si un dispositivo está afectado y herramientas de análisis para investigadores

Implicaciones generales para la seguridad de los periféricos Bluetooth

  • A medida que la seguridad de los smartphones se fortalece, los atacantes pueden desplazar su foco hacia periféricos (audífonos, earbuds, etc.)
  • Si se roba una Bluetooth Link Key, el atacante puede hacerse pasar por un periférico falso y acceder a funciones del smartphone
  • Por esta razón, es importante reforzar la seguridad de los periféricos Bluetooth y gestionar sus vulnerabilidades

Lecturas relacionadas

1 comentarios

 
GN⁺ 2026-01-02
Opiniones de Hacker News

  • Me alegra que este tema por fin esté recibiendo atención
    Se presentó recientemente en la 39C3 de Hamburgo: unos headsets Bluetooth comunes que usan Airoha SoC pueden ser completamente comprometidos sin autenticación usando solo una laptop Linux (CVE-2025-20700~20702)
    Es posible acceder al volcado de firmware, la configuración del usuario, las claves de sesión e incluso la pista que se está reproduciendo en ese momento
    Entre las marcas afectadas están Sony (WH1000-XM5/XM6, WF-1000XM5), Marshall (Major V, Minor IV), Beyerdynamic (AMIRON 300) y Jabra (Elite 8 Active)
    La mayoría de los fabricantes respondió lentamente, pero Jabra fue una excepción y reaccionó con rapidez
    Lo interesante es que, pese a esta vulnerabilidad, es muy probable que el protocolo Bluetooth LE “RACE” de Airoha siga usándose
    Gracias a eso, los usuarios de Linux podrían tener la oportunidad de controlar sus headsets con mucho más detalle
    Por ejemplo, cambiar automáticamente a la función “hearthrough” al silenciar
    Herramienta relacionada: RACE Reverse Engineered - CLI Tool
    Creo que este nivel de escucha remota de audio es un problema que incluso debería tratarse a nivel de seguridad nacional

    • Soy uno de los investigadores
      Como muchas personas prefieren texto en lugar de video, dejo aquí el material relacionado
      Blog: Bluetooth Headphone Jacking - Full Disclosure
      White paper: ERNW Publications
    • Sony no publicó un aviso oficial, pero supongo que los usuarios de la app habrán recibido una notificación de actualización de firmware distribuida silenciosamente
      La mayoría de los fabricantes usa servicios UUID propios para controlar la configuración
      En Android hay clientes abiertos como Gadgetbridge, pero para Linux no sé bien qué existe
    • Yo tampoco suelo ver videos técnicos, así que casi nunca voto por enlaces de YouTube
    • Si también se puede reproducir audio, sería el sueño de cualquier bromista
      No sorprende que Jabra haya reaccionado rápido. Está más enfocada en el mercado corporativo, así que tiene mayor sensibilidad por la seguridad
      Sony ahora parece más una marca centrada en consumo, así que su respuesta da la impresión de ser más lenta
    • Ya existen apps que hicieron ingeniería inversa del protocolo de comunicación de AirPods
      Son AndroPods de 2020 y LibrePods de 2024
      Pero por un bug del stack Bluetooth de Android no se pueden ejecutar comandos sin permisos root
      Issue relacionado: Google Issue Tracker

  • Cuando OpenBSD dijo que no iba a desarrollar Bluetooth, todos se enojaron, pero visto ahora, fue una decisión inteligente
    Bluetooth es un estándar complejo y flojo, y ni siquiera dispositivos premium como los Sony WH1000 son la excepción
    Yo también uso AirPods Pro y WH1000-XM5, pero siempre supe que Bluetooth al final es puro “hack sobre hack”
    Casi no hay forma de mirar el estado interno, al punto de que ni siquiera se muestra la intensidad de señal

    • Esto no es un problema de Bluetooth en sí, sino de que el chipset Airoha se envió con una interfaz de depuración que permite leer la memoria del SoC sin autenticación
      Según dicen, ni siquiera funcionó el correo de seguridad
    • Me hace pensar que quizá sería mejor transmitir audio por Wi‑Fi
      Sería una preocupación menos
    • La conexión por cable a veces es una molestia menor, pero al usar monitor externo o teclado puede volverse bastante incómoda
    • Decir que “todos se fueron de OpenBSD” es una exageración. Algunos, como yo, todavía lo usamos
    • Hasta da para bromear con que entonces también habría que bloquear USB, porque vectores de ataque hay por todos lados

  • Probé reproducir los pasos del white paper con el firmware más reciente del Sony WH-1000XM4, pero no hubo respuesta a los comandos o devolvió errores
    No puedo asegurarlo por completo, pero parece estar parchado

  • En resumen, headsets de varios fabricantes son vulnerables tanto en Bluetooth Classic como en BLE
    Usan el protocolo RACE sin autenticación, lo que permite volcar memoria y robar claves
    Con esas claves, un atacante puede hacerse pasar por un headset falso para acceder al smartphone
    También sería posible aceptar llamadas, espiar el micrófono y hasta llegar a evadir la autenticación de dos factores
    La única mitigación es no usar dispositivos vulnerables o apagar Bluetooth
    Me pregunto si los chipsets para autos tendrán el mismo problema

  • Al final, quien empezó con la eliminación del jack de 3.5 mm fue Apple. La razón oficial era la “resistencia al agua”

    • Cuando Apple habló de “courage”, todos se rieron, pero al final otros fabricantes también la siguieron
      Ahora es difícil encontrar teléfonos premium con jack
    • En realidad, hay muchos teléfonos resistentes al agua que sí tienen jack
    • Apple también mencionó ahorro de espacio y estrategia de largo plazo
      A cambio creció el ecosistema de audífonos USB-C, y los dongles DAC de alta calidad también se volvieron una alternativa
      Lista relacionada: USB-C Headphones
    • Hoy casi no ves gente usando audífonos con cable. Ya se siente como alguien que insiste en usar solo CDs

  • Todavía no veo el video, pero con solo leer el texto de la página ya se nota que es una vulnerabilidad de compromiso total del dispositivo
    Me impresiona especialmente que el atacante pueda usar los audífonos para atacar también al smartphone
    La presentación cubre el resumen de la vulnerabilidad, el impacto, las dificultades del proceso de parcheo y hasta la publicación de una herramienta para modificar firmware

    • Si se resume la cadena de ataque, sería:
      1. conexión a corta distancia
      2. volcado de memoria sin autenticación
      3. extracción de la Bluetooth Link Key desde ese volcado
      4. uso de esa clave para conectarse al smartphone como un headset falso
        Después de eso, el atacante puede controlar el smartphone con los privilegios de un periférico confiable
        Fuente: comentario en HN

  • Razer no aparece mencionado, pero el transmisor Blackshark V3 Pro usa el chip Airoha AB1571DN
    No está claro qué usa el headset, y también es difícil encontrar el historial de actualizaciones de firmware

  • La vicepresidenta Kamala Harris dijo recientemente en una entrevista que “los audífonos inalámbricos no son seguros”
    Enlace al video

    • Sin intención política, pero yo no confiaría en lo que diga Harris
      Bluetooth ya era desde antes una tecnología con baja seguridad, y la mayoría de las implementaciones son flojas
      Video de referencia: YouTube link
    • La seguridad de Bluetooth en general es débil
      Al usuario le cuesta verificar si una conexión es segura, y la autenticación basada en PIN también es incómoda
      Paper relacionado: arXiv paper
    • Lo que dijo Harris no parece referirse a una vulnerabilidad concreta, sino a una medida de política pública basada en la conciencia de ese riesgo potencial
    • Parece que esta vulnerabilidad ya se había divulgado alrededor de junio; me pregunto si la entrevista fue antes de eso

  • Fue una lástima que durante la demo la gente interrumpiera haciendo llamadas de broma con números de teléfono

  • Es posible que con esta presentación algunas agencias estatales se sientan incómodas

    • Aunque también puede que a ciertos países esto hasta los ponga contentos, dependiendo de quién conocía ya esta vulnerabilidad