
苹果修复 Beats Studio Buds 附近窃听漏洞
苹果已为 Beats Studio Buds 推出固件更新,修复一项高危漏洞,附近攻击者可能借此在蓝牙范围内通过麦克风窃听未完成配对且正在等待配对请求的设备。该问题还可导致权限提升,建议尽快安装 Beats Firmware Update 1B211。
苹果已更新其 Beats Studio Buds 无线耳塞,修补一项高危漏洞,攻击者可能利用该漏洞在附近窃听用户。
该漏洞编号为 CVE-2025-20701(CVSS 评分:8.8),涉及 Airoha Bluetooth audio SDK 中的错误授权问题,攻击者可在未经用户同意的情况下将蓝牙音频设备配对。
成功利用该缺陷可能导致远程权限提升,而不需要任何额外的执行权限或用户交互。该问题已在 Beats Firmware Update 1B211 中修复。
苹果在本周发布的公告中表示:“位于蓝牙范围内的攻击者,可能能够通过尚未配对且正在主动等待配对请求的设备麦克风进行监听。”
该漏洞细节最早于 2025 年 6 月曝光,当时 ERNW GmbH 的研究人员 Dennis Heinze 和 Frieder Steinmetz 在德国 TROOPERS 安全会议上披露了这一问题,并将其与 Airoha SoC 中另外两个缺陷(CVE-2025-20700 和 CVE-2025-20702)一同指出。Jabra 也在 2025 年 12 月发布了类似补丁。
研究人员当时指出:“在大多数情况下,这些漏洞允许攻击者通过蓝牙完全接管耳机。无需认证或配对即可利用。” “这些漏洞可以通过 Bluetooth BR/EDR 或 Bluetooth Low Energy(BLE)触发。只要处于蓝牙范围内,就是唯一前提。攻击者可以读写设备的 RAM 和闪存。”
“这些能力还允许攻击者劫持与其他设备之间已建立的信任关系,例如与耳机配对的手机。这些能力可用于多种攻击场景。”
苹果 A12 和 A13 芯片又现不可修补的利用
与此同时,Paradigm Shift 披露了一项新的 iPhone SecureROM(又称 BootROM)漏洞,影响苹果 A12 和 A13 芯片,并给出一个概念验证(PoC)利用,代号为 usbliter8。
这家欧洲网络安全公司表示:“该利用同时借助了 USB 控制器中的硬件缺陷,以及设备固件中存在的特定配置缺陷。” “由于这些漏洞位于不可变代码中,受影响用户应当注意,迁移到更新的硬件仍然是最有效的缓解措施。”
从高层看,该利用通过利用苹果 SoC 中内置 USB 控制器的一个缺陷来实现。该控制器使用内存缓冲区存储数据传输开始时发送的 SETUP 和 OUT 数据包。研究发现,攻击者可以利用控制器也接受更小数据包这一事实,触发缓冲区下溢原语,从而在特定条件下实现恶意代码注入与执行。
Paradigm Shift 指出,这个问题很可能根源于 USB 控制器硬件本身,而不是苹果的软件。A11 芯片不受该漏洞影响,而 A12 和 A13 已确认存在可被利用的风险。
“区别在于,A11 的 USB 驱动在接收每个数据包后,会手动将 DMA 地址重置为初始值,”该公司表示。“在 A12 和 A13 上,USB DART 被配置为旁路模式,使我们可以自由覆盖 SRAM 数据。相比之下,A14 及更高代产品似乎在 SecureROM 中正确配置了 DART,因此该漏洞无法被利用。”
usbliter8 利用与 checkm8 类似,后者是此类公开已知的 BootROM 利用,影响从 iPhone 4s(A5 芯片)到 iPhone 8 和 iPhone X(A11 芯片)的所有 iOS 设备。
Paradigm Shift 表示:“usbliter8 利用表明,即便在更近期的 SecureROM 代际中,包括那些受 Pointer Authentication 保护的系统,细微的硬件缺陷仍可被利用来实现完整代码执行并破坏信任链。”
“BootROM 的安全性至关重要:这一层面的漏洞可能危及整个设备的完整性。虽然 usbliter8 本身不影响 SEP,但它为进一步破坏 Secure Enclave 开辟了更广泛的攻击路径。”