Grave vulnerabilità nei chip Bluetooth Airoha: molti i marchi colpiti

Gen 05, 2026 Giancarlo Calzetta In evidenza, News, RSS, Vulnerabilità 0

---

Il Bluetooth è di nuovo al centro di una grave vulnerabilità che permette agli attaccanti di assumere il controllo degli smartphone o tablet connessi e che colpisce cuffie, auricolari True Wireless Stereo (TWS) ed altri dispositivi audio consumer basati su chipset Bluetooth prodotti da Airoha Systems. In realtà, si tratta di una serie di vulnerabilità catalogate come CVE-2025-20700, CVE-2025-20701 e CVE-2025-20702 che hanno ricevuto valutazioni CVSS dall’8.8 al 9.6, configurandosi come bug di alta o critica gravità per l’infrastruttura di comunicazione tra dispositivi smartphone e periferiche audio.

A differenza di molti attacchi Bluetooth del passato, dove la compromissione richiedeva procedure di pairing fallaci o interazione utente, queste vulnerabilità permettono l’inizio di connessioni non autenticate sfruttando specifiche implementazioni del protocollo RACE (Remote Access Control Engine), un motore di controllo remoto originariamente concepito per attività di debugging di fabbrica e aggiornamenti firmware. L’esposizione di tale protocollo su interfacce quali Bluetooth Low Energy (BLE), Bluetooth Classic e USB HID senza adeguata autenticazione di accesso permette compromissioni senza alcuna interazione da parte dell’utente.

Analisi dei difetti: RACE e autenticazione mancante

Le vulnerabilità fondamentali risiedono nella mancanza di controlli di autenticazione su servizi GATT (Generic Attribute Profile) quando si operano connessioni via BLE, così come nelle classiche connessioni Bluetooth tradizionali. La prima, tracciata come CVE-2025-20700, riguarda servizi essenziali che dovrebbero essere soggetti a restrizioni d’accesso in base al contesto di pairing, ma che in queste implementazioni sono esposti senza alcuna barriera logica, consentendo a un attaccante di instaurare una sessione con il dispositivo bersaglio a patto di trovarsi nel raggio di comunicazione radio.

Nel caso di connessioni Classic (CVE-2025-20701), l’assenza di autenticazione non solo permette l’accesso alla memoria di controllo, ma abilita anche la possibilità di sfruttare profili come Hands-Free Profile (HFP) per instaurare connessioni audio bidirezionali senza consenso dell’utente. Tale condizione può essere abusata per attivare microfoni remoti o manipolare funzionalità legate alla gestione delle chiamate, trasformando qualsiasi dispositivo vulnerabile in una radiospia.

La vulnerabilità più grave è però connessa direttamente all’architettura del protocollo RACE (CVE-2025-20702). Le operazioni esposte tramite questo meccanismo consentono la lettura di porzioni arbitrarie della flash e della RAM del dispositivo, insieme alla possibilità di eseguire comandi che interrogano o modificano lo stato critico dei componenti interni. Tali azioni consentono ad attaccanti di estrarre informazioni sensibili come chiavi crittografiche di collegamento (Link Key), indirizzi Bluetooth Classic ed elementi configurazionali leggibili da memoria non protetta.

Catena d’attacco: dalla periferica audio allo smartphone compromesso

Il reale pericolo non si limita alla compromissione isolata del dispositivo audio. La catena di attacco tecnica illustrata dai ricercatori mostra come sia possibile sfruttare questi difetti per trasferire l’impiego delle credenziali di sicurezza verso il dispositivo host (tipicamente uno smartphone). Dopo aver lette le tabelle di connessione memorizzate nella periferica, che includono le chiavi di link crittografiche utilizzate per l’autenticazione reciproca, un attaccante può impersonare la cuffia compromessa nei confronti del telefono bersaglio.

Una volta stabilita tale connessione privilegiata, l’attaccante può eseguire una varietà di operazioni sul telefono: dall’estrazione di informazioni sensibili come numeri di telefono e liste contatti fino all’attivazione di assistenti vocali per l’invio di messaggi o l’inizio di chiamate senza autorizzazione esplicita nonché la lettura di messaggi in entrata. Grazie a queste “funzioni aggiuntive”, i ricercatori sono riusciti a compromettere account di servizi come WhatsApp e Amazon.

 

Contesto di utilizzo reale e impatto industriale

I chipset Airoha Systems sono largamente utilizzati in modelli di cuffie e auricolari prodotti da marchi noti nel mercato consumer audio: tra i dispositivi confermati vulnerabili figurano vari modelli delle serie Sony WH e WF, Bose QuietComfort Earbuds, JBL Live Buds 3, Marshall MAJOR V e MINOR IV, così come altri prodotti marchiati Beyerdynamic, Jabra e Teufel. La larga diffusione di questi modelli e l’adozione ampia delle piattaforme SoC Airoha pongono potenziali rischi su scala molto ampia, dato che firmware correttivi non sono ancora stati uniformemente diffusi dai vendor al momento dell’analisi e quando questo è stato fatto, resta da vedere quanti utenti aggiorneranno le proprie cuffie (una operazione a cui nessuno pensa).

In diversi casi i produttori hanno rilasciato aggiornamenti firmware per affrontare alcune delle criticità, ma la disponibilità, la trasparenza e l’effettiva applicazione di tali correzioni mostrano una notevole variabilità tra le aziende. Alcune, come Jabra, hanno adottato una politica più trasparente, pubblicando informazioni dettagliate sui CVE e la lista di dispositivi aggiornati. Altri rimangono più oscuri nella comunicazione tecnica, costringendo gli operatori di sicurezza a dover verificare manualmente l’applicazione delle patch attraverso strumenti di management dei dispositivi.

Procedure di mitigazione e considerazioni di difesa

Per i team di sicurezza che gestiscono flotte di dispositivi mobili, il rischio di compromissione tramite periferiche audio impone un ripensamento delle strategie di controllo per le connessioni Bluetooth. Sistematicamente, l’applicazione tempestiva di firmware aggiornati rappresenta il primo baluardo di difesa, soprattutto nei casi in cui i bug siano stati già affrontati nei rilasci. Parallelamente, ridurre l’esposizione delle connessioni Bluetooth non critiche all’interno di zone operative ad alto rischio può ridurre la superficie di attacco per veicoli di compromissione fisicamente prossimi. La gestione delle coppie di Link Key e la rimozione di associazioni non più in uso dai dispositivi host può diminuire i vettori di fidelizzazione degli attaccanti in scenari successivi.

---

• Airoha SoC Bluetooth, Bluetooth Classic security, Bluetooth eavesdropping attack, Bluetooth GATT authentication flaw, Bluetooth hijacking smartphone, Bluetooth security headphones, bluetooth vulnerabilità, CVE-2025-20700, CVE-2025-20701, CVE-2025-20702, enterprise mobility security, RACE protocol exploit

---

---