블루투스 헤드폰 해킹: 스마트폰 침투의 새로운 경로

• 블루투스 오디오 칩 취약점을 통해 헤드폰이 완전히 장악될 수 있으며, 그 결과 연결된 스마트폰까지 공격 경로가 확장될 수 있음
• Sony, Marshall, Jabra 등 주요 브랜드 헤드폰/이어버드가 영향을 받는 것으로 확인됨
• 제품에 사용된 Airoha Bluetooth 오디오 SoC에서 CVE-2025-20700, CVE-2025-20701, CVE-2025-20702 세 가지 취약점 발견
• 헤드폰이 신뢰된 블루투스 주변기기라는 점을 악용해, 펌웨어·메모리 접근이 가능한 커스텀 Bluetooth 프로토콜 RACE를 통해 스마트폰 공격 가능성을 입증
• 블루투스 주변기기 보안이 스마트폰 보안의 새로운 약점이 될 수 있음을 경고

Airoha 칩의 취약점 개요

• 연구팀은 Airoha가 개발한 인기 Bluetooth 오디오 칩에서 CVE-2025-20700, CVE-2025-20701, CVE-2025-20702 세 가지 취약점을 발견
  • 이 칩들은 여러 제조사의 Bluetooth 헤드폰과 이어버드에 널리 사용됨
• 취약점은 기기 완전 장악을 허용할 수 있으며, 시연에서는 최신 세대 헤드폰을 이용해 즉각적인 영향을 보여줌
• 공격자는 페어링된 스마트폰 등 신뢰 관계에 있는 장치를 2차 공격 대상으로 삼을 수 있음

RACE 프로토콜과 펌웨어 접근

• 연구 과정에서 RACE라는 강력한 커스텀 Bluetooth 프로토콜이 발견됨
  • 이 프로토콜은 헤드폰의 플래시와 RAM에 데이터 읽기·쓰기 기능을 제공
• 이를 통해 펌웨어를 읽고 수정하거나 커스터마이징할 수 있는 가능성이 열림
  • 이렇게 감염된 블루투스 헤드폰을 통해 페어링된 스마트폰 공격 가능
  • 블루투스 Link Key 탈취 시 주변기기 가장 가능
  • 스마트폰이 주변기기를 신뢰하는 구조 자체가 공격 벡터로 작용
• 연구진은 이 기능을 활용해 보안 패치 및 연구 확장을 위한 기반을 마련

영향받는 제조사 및 제품

• 취약점이 영향을 미치는 기기로 Sony (WH1000-XM5, WH1000-XM6, WF-1000XM5) , Marshall (Major V, Minor IV) , Beyerdynamic (AMIRON 300) , Jabra (Elite 8 Active) 등이 언급됨
• Airoha는 Bluetooth SoC 및 레퍼런스 디자인·SDK 제공 업체
  • 다수의 유명 오디오 브랜드가 Airoha SoC와 SDK를 기반으로 제품을 제작
  • 특히 TWS(True Wireless Stereo) 시장에서 높은 점유율 보유

사용자 인식과 보안 업데이트 문제

• 연구진은 일부 제조사가 사용자에게 취약점과 보안 업데이트 정보를 충분히 제공하지 않았다고 지적
• 발표의 목표는 사용자에게 문제를 알리고, 연구자들이 Airoha 기반 기기 보안 연구를 이어갈 수 있도록 기술 세부 정보를 공개하는 것
• 발표와 함께 기기 영향 여부를 확인할 수 있는 도구와 연구자용 분석 툴이 공개됨

블루투스 주변기기 보안의 일반적 함의

• 스마트폰 보안이 강화됨에 따라, 공격자는 주변기기(헤드폰, 이어버드 등) 로 공격 초점을 옮길 수 있음
• Bluetooth Link Key가 탈취될 경우, 공격자는 주변기기를 가짜로 가장해 스마트폰 기능에 접근할 수 있음
• 이러한 이유로 블루투스 주변기기의 보안 강화와 취약점 관리가 중요함