ハクソク

世界を動かす技術を、日本語で。

Bluetoothヘッドフォンジャックの活用法: あなたのスマートフォンへの鍵 [動画]

106日前原文(media.ccc.de)

概要

  • BluetoothオーディオデバイスにおけるAiroha製チップの脆弱性を発見
  • CVE-2025-20700, 20701, 20702の3件が対象
  • 攻撃者による完全なデバイス乗っ取りのリスク
  • 影響範囲の広さペアリング端末への波及効果を解説
  • ユーザー向けの検査ツール研究者向け情報も提供

Bluetoothオーディオ機器の脆弱性とその影響

  • Bluetoothヘッドホンやイヤホンの普及と攻撃対象化
  • Airoha製Bluetoothオーディオチップにて3つの重大な脆弱性(CVE-2025-20700, 20701, 20702)を発見
  • AirohaチップはSony, Marshall, Beyerdynamic, Jabraなどの多数の有名メーカー製品に採用
  • 脆弱性によりヘッドホンやイヤホンの完全な制御権奪取が可能
  • RACEプロトコルの存在により、デバイスのフラッシュやRAMへの読み書きが可能
  • ファームウェアの読み書きカスタマイズ・パッチ適用も理論上可能
  • 攻撃者がペアリング済み端末(例:スマホ)を攻撃できるリスク
  • Bluetooth Link Keyの窃取によるペリフェラルなりすまし攻撃の可能性

脆弱性の一般的な影響・背景

  • スマートフォン自体のセキュリティ強化により、周辺機器が攻撃の新たな焦点に
  • Bluetoothペリフェラルの乗っ取りがスマートフォン本体への攻撃経路となる懸念
  • 信頼関係を悪用した拡大被害(例:スマホの権限を乗っ取ったペリフェラル経由で利用)

情報公開・対応状況

  • 一部メーカーによる情報開示不足とユーザーへの周知不足
  • 脆弱性の技術詳細提供により研究者による継続的な調査を促進
  • ユーザーが自分のデバイスが影響を受けているか確認するツール研究者向けツールを公開予定
  • ファームウェアのパッチ適用やカスタマイズが技術的には可能な状況
  • 脆弱性開示や修正プロセスの難しさについても議論

Airohaと市場への影響

  • AirohaはBluetooth SoCおよびリファレンス設計を手掛ける大手サプライヤー
  • True Wireless Stereo (TWS)イヤホン市場での存在感拡大
  • Airoha SDKをベースとしたファームウェアが多くのブランドで利用
  • Auracast研究中に脆弱性発見、RACEプロトコルが調査の突破口

今後の展望とユーザーへの提言

  • 脆弱性情報の積極的な共有ユーザーへの速やかなアップデート案内の重要性
  • ペリフェラル機器へのセキュリティ意識向上の必要性
  • 研究者・開発者による継続的な調査と対策強化の推進

ダウンロード・多言語対応情報

  • 本発表は複数言語に翻訳されており、ダウンロードファイルには各言語の音声トラックを収録
  • デスクトッププレーヤーで音声トラック切り替え可能、"audio tracks"機能を利用

参考情報

  • ライセンス:CC BY 4.0(http://creativecommons.org/licenses/by/4.0)
  • 影響例
    • Sony: WH1000-XM5, WH1000-XM6, WF-1000XM5
    • Marshall: Major V, Minor IV
    • Beyerdynamic: AMIRON 300
    • Jabra: Elite 8 Active

Hackerたちの意見

今は動画を見る時間がないから、後で戻ってきて見るつもりだけど、そのページのテキストからいくつか気になった部分を紹介するね。これを見たら、動画を見る価値があると思ったんだ(過剰に盛り上げてるか、興味深くて重要な内容かのどちらかだね)。 > 「特定された脆弱性は、デバイスの完全な侵害を許す可能性があります。私たちは、最新世代のヘッドフォンを使って即座の影響を示します。また、侵害されたBluetooth周辺機器が、スマートフォンのようなペアリングされたデバイスを攻撃するために悪用される様子も示します。」 > 「このプレゼンテーションでは、脆弱性の概要とその影響についてのデモと議論を行います。また、これらの発見を一般化し、一般的なBluetooth周辺機器の侵害の影響についても話し合います。最後に、開示とパッチ適用プロセスの難しさについても簡単に触れます。講演とともに、ユーザーが自分のデバイスが影響を受けているか確認できるツールや、他の研究者がAirohaベースのデバイスを調査し続けるためのツールもリリースします。」 > 「ヘッドフォンユーザーがこの問題を認識することが重要です。私たちの意見では、一部のデバイスメーカーは、潜在的な脅威や利用可能なセキュリティアップデートについてユーザーに十分に情報を提供していないと思います。私たちは、問題を理解するための技術的な詳細を提供し、他の研究者がプラットフォームでの作業を続けられるようにしたいと考えています。このプロトコルを使えば、ファームウェアの読み書きが可能です。これにより、パッチを当てたり、ファームウェアをカスタマイズしたりする可能性が開けます。」
みんながOpenBSDに対してBluetoothの開発を拒否したことで怒ってたよね。あれはごちゃごちゃした規格だし、底辺を目指す競争が大きな隙間を生んでるのは驚くべきことじゃないけど…ソニーのWH1000はプレミアムなハードウェアなのに、言い訳はないよね。どうしてみんながBluetoothヘッドフォン市場の成長を正当化できるのか、ずっと不思議だった。みんなBluetoothヘッドフォンを使ってるみたいだし(少なくともスウェーデンでは)、私もその流行に乗っかってしまった(AirPods Proと影響を受けたソニーWH1000-XM5を持ってる)。でも、Bluetoothはただのハックの重ね合わせだって、どこかで気づいてたんだ。人気に流されてしまったのが怖い。Bluetoothの「音が途切れる」問題をデバッグしようとして、最初のトラブルシューティングステップとして信号強度を調べたんだけど、今は信号強度すら表示しない人が多いことに気づいた…何が起こってるのかを調べることができるのは全くないし、信号強度すら表示しない…本当に、全体が呪われてるみたいで、こんな風に一般の人たちに使われてるのが信じられない…Wi-Fiの信号強度を表示しないなんて想像できる?
そのせいで、私たちの中にはOpenBSDを使い続けている人もいるよね(本来はもっと早くやめるべきだったかも?)。で、あなたの言う「みんな」って誰のこと?
時々、コードを差すのはちょっとした不便だけど、時には大きな不便になることもあるよね。例えば、仕事でノートパソコンを使ってるけど、少し遠くで使うとき(外部モニターやキーボードを使う場合)には、コードが接続部分からぶら下がったり、キーボードの間に入ったりして、イライラすることがある。
これはBluetoothの問題じゃないよ。チップメーカーのAirohaが、認証なしでSoCメモリを読み取ることができる無線デバッグインターフェースを小売顧客向けのビルドにそのまま出荷するのを許可しただけ。彼らは真剣な会社じゃないんだ(だから、彼らのセキュリティメールも機能しなかった)。
> みんなOpenBSDがBluetoothの開発を拒否したことで怒ってたよね。じゃあ、OpenBSDはUSBサポートをいつパッチするの?めっちゃ大きな脆弱性のベクターだよ。
正直、BTはもうやめてWiFiで音声送信しちゃえばいいんじゃない?心配事が一つ減るし。
それにしても、Appleが始めたせいで、すべてのスマホがジャックを廃止してるよね。公式な理由は「防水のため」ってことだけど。
公式の理由は、名高くて馬鹿げたことに「勇気」だった。Appleはさらに、スペースが貴重で、そこに競合するものがたくさんあることを説明し、大きな単目的のレガシーコネクタはもはや意味がないと指摘した。Appleの戦略的選択は、5年、10年、時には20年かかる製品に基づいていることが多い。例えば、今後出る折りたたみiPhone(そして多くの関連決定の試金石であるiPhone Air)は、こういう決定が製品に反映される10年前からロードマップに載っていた。高品質のDACをドングルに入れるのは悪い解決策ではなかった(アナログジャックのある多くの電話は質が悪いから)、今では何百ものヘッドフォンが勇敢にネイティブUSB-Cをサポートしている。¹ https://www.bhphotovideo.com/c/products/usb-c-headphones/ci/...
一番イライラするのは、Appleがジャックを廃止したときに「勇気」って言葉を笑ったことだね。Appleの理由はすでにクソだと思われていたし、サムスンも指を指していた。結局、Appleは批判を乗り越え、他のメーカーもそれに続き、3.5ジャック付きのまともな電話を求める人には行き場がなくなった。
まだ動画は見てないけど、この機能は最近のレイトナイトショーでカマラ・ハリス副大統領が漏らしたんじゃないかな。彼女は無線ヘッドフォンを使わないって言ってたし、セキュリティ会議に参加してて安全じゃないことを知ってるって。
免責事項:このコメントは政治的な意図はないよ。彼女がどの政党に属しているかは気にしないし。この件に関して信頼できる人の中で、カマラ・ハリスが私のリストのトップに来ることはないよ。理由はこれみたいなことね。 https://youtu.be/O2SLyBL2kdM?si=Zq-EN8zxj4Y_UCwI 機密会議に出席していなくても、Bluetooth/BLE(特にほとんどのベンダーが仕様を実装する方法)が他のもっと実績のある技術ほど安全でないことは理解できるはずだよ。
この脆弱性は6月にすでに公表されてたみたいだけど、あのインタビューはそれより前のもの?
https://en.wikipedia.org/wiki/Van_Eck_phreaking
> この投稿がやっとアップボートされて嬉しい!私自身のことを言うと、技術系の動画にはあまり耐性がないから、YouTubeの投稿にアップボートしたことはないと思う。
これは意図しない脆弱性なのか、それとも「開けておいた方が楽だし、誰も気づかないだろうと思った」みたいなことなのかな。つまり、「このファームウェアにアップデートする」コマンドを完全に認証なしで送信できて、「はい、もちろん」ってなるの?サインも何もなしに?
リモートオーディオ監視は、TEMPEST [0]/Van Eckフィーキング [1]を使った有線ヘッドフォンでも可能だと思う。どちらがより良い範囲を持っていて、どちらがよりステルス性があるのかは分からないけど、TEMPESTかBluetooth攻撃か。Bluetooth攻撃はノートパソコンさえあればできるし、TEMPEST攻撃には大きなアンテナが必要なのかは不明。
> ほとんどのベンダーは、Airohaが修正を公開した後も、セキュリティ研究者に対して無反応だったり、遅かったりした。ジャブラは良い方の例だったけど、ソニーは残念ながら悪い方だった。ソニーがアドバイザリーを出した記憶はないけど、彼らのアプリのユーザーは(静かに)ファームウェアのアップデートをリリースしたから、アップデート通知が来ていたと思う。 > これって、LinuxユーザーがBluetoothヘッドセットをコントロールする大きなチャンスがあるってことだよね。例えば、オフィスで音量をミュートにするときに「ハーススルー」を切り替えるのが便利だし。私はほとんどのベンダーがこのような設定に独自のUUIDを使ったカスタムサービスを利用していると思う。とはいえ、人気のあるデバイスの中にはオープンなクライアント実装があると思う。Androidに関してはGadgetbridgeが思い浮かぶけど、Linuxの同等のものは分からないな。
> これにはファームウェアのダンプやユーザーの設定、Bluetooth Classicのセッションキー、現在再生中のトラックなどが含まれます。もしこれらが漏れたら、あんまり深刻じゃないよね?ヘッドフォンで話してるときに盗聴されることってあるのかな?
やっとAirPodsの不具合について分かりやすい説明が出たね ;)
これ、国家の関係者を不快にさせるかもね。
おそらく、どの国の関係者かによって、嬉しい気持ちと悲しい気持ちが入り混じってる感じかな。誰がその脆弱性を知ってたかにもよるし。
> さらに、侵害されたBluetooth周辺機器がペアリングされたデバイス、例えばスマホに攻撃を仕掛ける方法も示しています。今はその動画が見れないけど、どのくらいスマホを乗っ取れるのか気になるな。ヘッドフォンをキーボードやマウスに見せかけることってできるのかな?二つ目の質問だけど、ファームウェアのアップデートをインストールすることでこの問題は解決できるの?
BのBluetoothキーボードとTouch IDはどうなるの?
前にここにリポジトリを投稿したよ: https://news.ycombinator.com/item?id=46406310
なんで直接リポジトリにリンクしないの?あの投稿にはコメントが一つしかないよ。これがリポジトリだよ(みんなの手間を省くために): https://github.com/auracast-research/race-toolkit
自分の理解を確認したいんだけど:この脆弱性は特定のAirohaチップセットのファームウェアにあるってことだよね?例えば、BluetoothデバイスがQualcommのチップセットを使ってる場合は、この特定の脆弱性の影響を受けないってこと?…でも、他のメーカーでも似たような情報が来年あたりにバンバン出てくるのは驚かないな。