Piratage de casques Bluetooth : une nouvelle voie d’intrusion vers les smartphones

• Des vulnérabilités dans des puces audio Bluetooth peuvent permettre de prendre totalement le contrôle d’un casque, avec pour conséquence une extension potentielle de l’attaque jusqu’au smartphone connecté
• Des casques/écouteurs de grandes marques comme Sony, Marshall, Jabra sont confirmés comme étant affectés
• Trois vulnérabilités ont été découvertes dans le SoC audio Bluetooth d’Airoha : CVE-2025-20700, CVE-2025-20701, CVE-2025-20702
• En exploitant le fait que les casques sont des périphériques Bluetooth de confiance, les chercheurs ont démontré la possibilité d’attaquer un smartphone via le protocole Bluetooth personnalisé RACE, qui permet l’accès au firmware et à la mémoire
• Avertissement : la sécurité des périphériques Bluetooth pourrait devenir un nouveau point faible de la sécurité des smartphones

Aperçu des vulnérabilités des puces Airoha

• L’équipe de recherche a découvert trois vulnérabilités, CVE-2025-20700, CVE-2025-20701, CVE-2025-20702, dans des puces audio Bluetooth populaires développées par Airoha
  • Ces puces sont largement utilisées dans des casques et écouteurs Bluetooth de nombreux fabricants
• Les vulnérabilités peuvent permettre une prise de contrôle complète de l’appareil, et la démonstration a montré un impact immédiat sur des casques de dernière génération
• Les attaquants peuvent ensuite viser comme seconde cible des appareils liés par une relation de confiance, comme un smartphone appairé

Protocole RACE et accès au firmware

• Au cours de leurs recherches, les chercheurs ont découvert un puissant protocole Bluetooth personnalisé appelé RACE
  • Ce protocole offre des fonctions de lecture et d’écriture de données dans la flash et la RAM du casque
• Cela ouvre la possibilité de lire, modifier ou personnaliser le firmware
  • Un casque Bluetooth ainsi infecté peut ensuite servir à attaquer un smartphone appairé
  • Le vol d’une Bluetooth Link Key peut permettre d’usurper l’identité d’un périphérique
  • Le fait même que le smartphone fasse confiance à ses périphériques devient un vecteur d’attaque
• Les chercheurs ont utilisé cette capacité pour poser les bases de correctifs de sécurité et d’une extension des recherches

Fabricants et produits concernés

• Parmi les appareils mentionnés comme affectés figurent Sony (WH1000-XM5, WH1000-XM6, WF-1000XM5), Marshall (Major V, Minor IV), Beyerdynamic (AMIRON 300) et Jabra (Elite 8 Active)
• Airoha est un fournisseur de SoC Bluetooth ainsi que de designs de référence et de SDK
  • De nombreuses marques audio connues fabriquent leurs produits sur la base des SoC et SDK d’Airoha
  • L’entreprise détient notamment une forte part de marché dans le segment des TWS (True Wireless Stereo)

Problèmes de sensibilisation des utilisateurs et de mises à jour de sécurité

• Les chercheurs soulignent que certains fabricants n’ont pas suffisamment informé les utilisateurs des vulnérabilités ni des mises à jour de sécurité
• L’objectif de la publication est d’alerter les utilisateurs et de divulguer des détails techniques afin que les chercheurs puissent poursuivre les travaux sur la sécurité des appareils basés sur Airoha
• En parallèle de la présentation, un outil permettant de vérifier si un appareil est concerné ainsi que des outils d’analyse pour les chercheurs ont été publiés

Portée générale pour la sécurité des périphériques Bluetooth

• À mesure que la sécurité des smartphones se renforce, les attaquants peuvent déplacer leur attention vers les périphériques (casques, écouteurs, etc.)
• Si une Bluetooth Link Key est dérobée, un attaquant peut se faire passer pour un périphérique et accéder à des fonctions du smartphone
• C’est pourquoi il est important de renforcer la sécurité des périphériques Bluetooth et la gestion des vulnérabilités