Lỗ Hổng Bluetooth Zero-Day Nghiêm Trọng: Hàng Triệu Tai Nghe Có Thể Bị Biến Thành "Thiết Bị Nghe Lén" Không Cần Xác Thực

Trong một phát hiện bảo mật đáng báo động mới nhất, các nhà nghiên cứu bảo mật từ công ty ERNW của Đức đã phát hiện ra những lỗ hổng nghiêm trọng trong hàng triệu tai nghe và earbuds Bluetooth, cho phép tin tặc có thể nghe lén cuộc trò chuyện, chiếm quyền điều khiển thiết bị và truy cập dữ liệu nhạy cảm - tất cả đều không cần xác thực hoặc ghép nối từ người dùng. Đây được coi là một lỗ hổng zero-day vì hiện tại chưa có bản vá nào sẵn có cho người dùng cuối.

Nguồn gốc và phạm vi ảnh hưởng

Phát hiện từ hội nghị TROOPERS

Các lỗ hổng này được phát hiện bởi nhóm nghiên cứu bảo mật ERNW của Đức trong quá trình nghiên cứu về tai nghe và earbuds Bluetooth. Kết quả nghiên cứu đã được trình bày tại hội nghị bảo mật TROOPERS 2025 với chủ đề "Headphone Jacking: A Key to Your Phone" (Chiếm Quyền Tai Nghe: Chìa Khóa Dẫn Đến Điện Thoại Của Bạn).

Chip Airoha

Những lỗ hổng này tập trung vào chip Bluetooth System-on-Chip (SoC) được sản xuất bởi công ty Airoha của Đài Loan. Airoha là một nhà cung cấp lớn trong lĩnh vực âm thanh Bluetooth, đặc biệt trong khu vực tai nghe True Wireless Stereo (TWS). Các chip này cho phép tai nghe nhỏ trong tai tái tạo âm thanh stereo từ các thiết bị phát như smartphone mà không có độ trễ.

Phân loại lỗ hổng

Ba lỗ hổng chính đã được gán các mã định danh CVE với mức độ nghiêm trọng khác nhau:

Cơ chế kỹ thuật

Giao thức

Các lỗ hổng xuất phát từ một giao thức tùy chỉnh mạnh mẽ trong chip Bluetooth SoC của Airoha. Giao thức này được thiết kế để tương tác với các ứng dụng của nhà sản xuất, nhưng lại thiếu các biện pháp bảo mật cơ bản.

Đặc điểm kỹ thuật:

• Giao thức được phơi bày qua cả Bluetooth Low Energy (BLE) GATT và Bluetooth Classic (BR/EDR)

• Không yêu cầu xác thực hoặc ghép nối thiết bị

• Cho phép thao tác bộ nhớ RAM và flash của thiết bị

• Kết nối qua RFCOMM channel trong Bluetooth Classic

Cách thức hoạt động của cuộc tấn công

1. Điều kiện tấn công

• Khoảng cách vật lý: Kẻ tấn công chỉ cần ở trong phạm vi Bluetooth (thường khoảng 10 mét)

• Không cần ghép nối: Không yêu cầu xác thực hoặc pairing

• Kỹ năng cao: Đòi hỏi trình độ kỹ thuật cao để thực hiện

2. Khả năng của kẻ tấn công

Sau khi kết nối thành công, tin tặc có thể:

a) Truy cập bộ nhớ:

• Đọc và ghi bộ nhớ RAM của thiết bị

• Truy cập và chỉnh sửa flash memory

• Đọc thông tin media đang phát (tên bài hát, podcast)

b) Chiếm đoạt kết nối:

• Sao chép khóa mã hóa Bluetooth từ bộ nhớ tai nghe

• Mạo danh tai nghe đối với smartphone đã ghép nối

• Chiếm đoạt mối quan hệ tin cậy giữa thiết bị

c) Điều khiển cuộc gọi:

• Khởi tạo cuộc gọi đến số bất kỳ

• Chặn hoặc từ chối cuộc gọi đến

• Kích hoạt trợ lý giọng nói (Siri, Google Assistant)

d) Nghe lén và thu thập thông tin:

• Kích hoạt microphone để nghe lén

• Trích xuất số điện thoại và danh bạ

• Đọc lịch sử cuộc gọi (tùy thuộc cấu hình)

Phương thức tấn công

1. Đọc thông tin đang phát

Các nhà nghiên cứu đã chứng minh khả năng đọc thông tin media đang phát từ bộ nhớ RAM của tai nghe. Ví dụ, họ có thể xác định bài hát đang được phát như "Free Woman" của Lady Gaga.

Hạn chế: Cuộc tấn công này cần được tùy chỉnh cho từng model tai nghe và phiên bản firmware cụ thể vì địa chỉ bộ nhớ thay đổi giữa các thiết bị.

2. Nghe lén trực tiếp

Kỹ thuật 1 - Kết nối HFP trực tiếp:

• Thiết lập kết nối Bluetooth Hands-Free Profile (HFP)

• Nghe trực tiếp qua microphone của tai nghe

• Nhược điểm: Dễ phát hiện vì kết nối hiện tại bị ngắt

Kỹ thuật 2 - Mạo danh thiết bị:

• Trích xuất khóa Bluetooth từ flash memory

• Mạo danh tai nghe đối với smartphone

• Khởi tạo cuộc gọi đến số của kẻ tấn công

• Nghe lén mọi âm thanh xung quanh điện thoại

3. Tấn công dạng Sâu (Wormability)

Do các thiết bị có thể được nhận dạng qua GATT services và có khả năng ghi đè firmware, các lỗ hổng này cho phép tạo ra exploit có thể tự lan truyền giữa các thiết bị.

Danh sách thiết bị bị ảnh hưởng

Các thương hiệu lớn được xác nhận

Sony (Thương hiệu bị ảnh hưởng nặng nhất)

• Dòng flagship: WH-1000XM4, WH-1000XM5, WH-1000XM6

• True Wireless: WF-1000XM3, WF-1000XM4, WF-1000XM5

• Mid-range: WH-CH520, WH-CH720N, WH-XB910N

• Budget: WI-C100, WF-C500, WF-C510-GFP

• Mới nhất: Link Buds S, ULT Wear

Marshall (Toàn bộ dòng sản phẩm)

• Loa Bluetooth: Woburn III, Stanmore III, Acton III

• Tai nghe: Major IV, Major V, Minor IV, Motif II

JBL

• Live Buds 3, Endurance Race 2

Bose

• QuietComfort Earbuds

Các Thương Hiệu Khác

• Jabra: Elite 8 Active

• Beyerdynamic: Amiron 300

• Xiaomi: Redmi Buds 5 Pro

• Teufel: Airy TWS 2

• JLab: Epic Air Sport ANC

• MoerLabs: EchoBeatz

• EarisMax: Bluetooth Auracast Sender

Quy mô ảnh hưởng thực tế

Theo ước tính của các nhà nghiên cứu:

• Hơn 100 loại thiết bị có thể bị ảnh hưởng

• Khoảng 3 triệu thiết bị dễ bị tổn thương trên toàn cầu

• 20% thị phần từ các thương hiệu lớn như Sony, Bose, JBL

• Nhiều nhà sản xuất không biết họ đang sử dụng chip Airoha

Lưu ý quan trọng: Apple AirPods không bị ảnh hưởng vì không sử dụng chip Airoha, nhưng các bản sao từ Trung Quốc có thể sử dụng chip này.

Mức độ rủi ro

Đối tượng mục tiêu chính

Mặc dù lỗ hổng có mức độ nghiêm trọng cao về mặt kỹ thuật, các nhà nghiên cứu nhấn mạnh rằng cuộc tấn công thực tế chỉ có ý nghĩa đối với các mục tiêu có giá trị cao:

Nhóm nguy cơ cao:

• Nhà báo và phóng viên đang điều tra các vấn đề nhạy cảm

• Nhà ngoại giao và quan chức chính phủ

• Nhà hoạt động chính trị và đối lập

• Nhân viên trong các ngành công nghiệp nhạy cảm (quốc phòng, tài chính)

• Các VIP và người nổi tiếng

Hạn chế của cuộc tấn công

Điều kiện bắt buộc:

1. Khoảng cách vật lý: Phải ở trong phạm vi Bluetooth (~10m)

2. Kỹ năng kỹ thuật cao: Không thể thực hiện bởi kẻ tấn công nghiệp dư

3. Nhiều bước kỹ thuật: Cần thực hiện hoàn hảo mà không bị phát hiện

4. Không thể tấn công qua Internet: Chỉ có thể thực hiện trực tiếp

Tình huống thực tế:

• Trong quán cà phê, xe buýt, cùng tòa nhà

• Hội nghị, sự kiện công cộng

• Các không gian làm việc chung

Khuyến nghị

Cho người dùng cá nhân

Biện pháp tức thì:

1. Hạn chế sử dụng tai nghe Bluetooth trong môi trường nhạy cảm

2. Hủy ghép nối (unpair) tai nghe khỏi smartphone

3. Tắt Bluetooth khi không cần thiết

4. Tăng cường cảnh giác với các hoạt động bất thường

Theo dõi cập nhật:

• Kiểm tra thường xuyên ứng dụng của nhà sản xuất

• Cập nhật firmware ngay khi có sẵn

• Theo dõi thông tin từ các nguồn bảo mật uy tín

Cho doanh nghiệp

• Audit tất cả thiết bị Bluetooth trong tổ chức

• Cập nhật policy sử dụng thiết bị cá nhân

• Đào tạo nhân viên về rủi ro bảo mật

• Giám sát hoạt động Bluetooth trong môi trường nhạy cảm

Kết Luận

Lỗ hổng Bluetooth trong chip Airoha đại diện cho một trong những phát hiện bảo mật nghiêm trọng nhất trong lĩnh vực audio không dây năm 2025. Với khả năng biến hàng triệu tai nghe thành thiết bị nghe lén mà không cần xác thực, đây là lời cảnh báo về tầm quan trọng của bảo mật trong thời đại IoT.

Mặc dù cuộc tấn công yêu cầu điều kiện vật lý và kỹ năng cao, tác động tiềm tàng đối với các mục tiêu có giá trị cao là không thể phủ nhận. Sự việc này cũng cho thấy sự cần thiết của việc cải cách toàn diện trong chuỗi cung ứng công nghệ, từ minh bạch hóa thành phần đến cải thiện quy trình cập nhật bảo mật.

Đối với người dùng thông thường, mặc dù rủi ro tấn công trực tiếp là thấp, việc nâng cao nhận thức và theo dõi cập nhật từ nhà sản xuất vẫn là điều cần thiết. Còn đối với các cá nhân và tổ chức trong lĩnh vực nhạy cảm, việc tạm ngừng sử dụng tai nghe Bluetooth cho đến khi có bản vá chính thức là biện pháp an toàn nhất.

---

Nguồn tham khảo:

• Security Advisory: Airoha-based Bluetooth Headphones and Earbuds

• Hackers Exploit Bluetooth Flaws to Eavesdrop via Headphones and Earbuds

• Bluetooth flaws could let hackers spy through your microphone

• Zero-day: Bluetooth gap turns millions of headphones into listening stations