Peretasan headphone Bluetooth: jalur baru untuk menyusup ke smartphone

 (media.ccc.de)
16 poin oleh GN⁺ 2026-01-02 | 1 komentar | Bagikan ke WhatsApp
  • Melalui kerentanan chip audio Bluetooth, headphone dapat diambil alih sepenuhnya, dan akibatnya jalur serangan dapat meluas hingga ke smartphone yang terhubung
  • Dikonfirmasi bahwa headphone/earbud dari merek besar seperti Sony, Marshall, Jabra terdampak
  • Tiga kerentanan, CVE-2025-20700, CVE-2025-20701, CVE-2025-20702, ditemukan pada Bluetooth audio SoC Airoha yang digunakan dalam produk-produk tersebut
  • Dengan menyalahgunakan fakta bahwa headphone adalah periferal Bluetooth tepercaya, peneliti membuktikan kemungkinan menyerang smartphone melalui protokol Bluetooth kustom RACE yang memungkinkan akses ke firmware dan memori
  • Diperingatkan bahwa keamanan periferal Bluetooth dapat menjadi titik lemah baru dalam keamanan smartphone

Gambaran umum kerentanan pada chip Airoha

  • Tim peneliti menemukan tiga kerentanan, CVE-2025-20700, CVE-2025-20701, CVE-2025-20702, pada chip audio Bluetooth populer yang dikembangkan oleh Airoha
    • Chip ini digunakan secara luas pada headphone dan earbud Bluetooth dari berbagai produsen
  • Kerentanan ini dapat memungkinkan pengambilalihan perangkat secara penuh, dan demonstrasi menunjukkan dampak langsung dengan menggunakan headphone generasi terbaru
  • Penyerang dapat menjadikan perangkat yang memiliki hubungan tepercaya, seperti smartphone yang sudah dipasangkan, sebagai target serangan tahap kedua

Protokol RACE dan akses firmware

  • Dalam proses penelitian, ditemukan protokol Bluetooth kustom yang kuat bernama RACE
    • Protokol ini menyediakan fungsi membaca dan menulis data ke flash dan RAM headphone
  • Hal ini membuka kemungkinan untuk membaca, memodifikasi, atau mengustomisasi firmware
    • Melalui headphone Bluetooth yang telah terinfeksi, muncul kemungkinan menyerang smartphone yang telah dipasangkan
    • Jika Link Key Bluetooth dicuri, perangkat periferal dapat ditiru
    • Struktur smartphone yang mempercayai periferal itu sendiri dapat menjadi vektor serangan
  • Para peneliti memanfaatkan kemampuan ini untuk menyiapkan dasar bagi patch keamanan dan perluasan riset

Produsen dan produk yang terdampak

  • Perangkat yang disebut terdampak oleh kerentanan ini mencakup Sony (WH1000-XM5, WH1000-XM6, WF-1000XM5), Marshall (Major V, Minor IV), Beyerdynamic (AMIRON 300), dan Jabra (Elite 8 Active)
  • Airoha adalah penyedia Bluetooth SoC serta desain referensi dan SDK
    • Banyak merek audio ternama membuat produk berdasarkan Airoha SoC dan SDK
    • Terutama memiliki pangsa pasar tinggi di pasar TWS(True Wireless Stereo)

Masalah kesadaran pengguna dan pembaruan keamanan

  • Tim peneliti menyoroti bahwa beberapa produsen tidak cukup memberikan informasi kepada pengguna tentang kerentanan dan pembaruan keamanan
  • Tujuan presentasi ini adalah memberi tahu pengguna tentang masalah tersebut, sekaligus mempublikasikan detail teknis agar peneliti dapat melanjutkan riset keamanan pada perangkat berbasis Airoha
  • Bersamaan dengan presentasi, dirilis alat untuk memeriksa apakah perangkat terdampak dan tool analisis untuk peneliti

Implikasi umum keamanan periferal Bluetooth

  • Seiring keamanan smartphone makin diperkuat, penyerang dapat mengalihkan fokus serangan ke periferal (headphone, earbud, dan sebagainya)
  • Jika Bluetooth Link Key dicuri, penyerang dapat menyamar sebagai periferal palsu untuk mengakses fungsi smartphone
  • Karena itu, penguatan keamanan periferal Bluetooth dan pengelolaan kerentanan menjadi penting

Bacaan terkait

1 komentar

 
GN⁺ 2026-01-02
Opini Hacker News

  • Senang akhirnya tulisan ini mendapat perhatian
    Ini adalah materi yang dipresentasikan baru-baru ini di 39C3 di Hamburg, dan headset Bluetooth umum yang menggunakan Airoha SoC dapat dikuasai sepenuhnya tanpa autentikasi hanya dengan laptop Linux (CVE-2025-20700~20702)
    Dimungkinkan untuk mengakses dump firmware, pengaturan pengguna, kunci sesi, hingga trek yang sedang diputar
    Merek yang terdampak antara lain Sony (WH1000-XM5/XM6, WF-1000XM5), Marshall (Major V, Minor IV), Beyerdynamic (AMIRON 300), dan Jabra (Elite 8 Active)
    Sebagian besar produsen lambat merespons, tetapi Jabra secara luar biasa merespons dengan cepat
    Yang menarik, meskipun ada kerentanan ini, protokol Bluetooth LE “RACE” milik Airoha kemungkinan besar akan tetap digunakan
    Berkat itu, pengguna Linux mendapat peluang untuk mengendalikan headset dengan lebih rinci
    Misalnya, otomatis mengalihkan fitur “hearthrough” saat mute
    Alat terkait: RACE Reverse Engineered - CLI Tool
    Menurut saya, penyadapan audio jarak jauh pada level seperti ini adalah masalah yang juga harus ditangani pada tingkat keamanan nasional

    • Saya salah satu penelitinya
      Banyak orang lebih suka teks daripada video, jadi saya tinggalkan materi terkait
      Blog: Bluetooth Headphone Jacking - Full Disclosure
      Whitepaper: ERNW Publications
    • Sony memang tidak mengeluarkan pengumuman resmi, tetapi para pengguna aplikasinya kemungkinan menerima notifikasi pembaruan firmware yang didistribusikan secara diam-diam
      Sebagian besar produsen menggunakan layanan UUID mereka sendiri untuk kontrol pengaturan
      Untuk Android ada klien terbuka seperti Gadgetbridge, tetapi untuk Linux saya kurang tahu
    • Saya juga bukan orang yang suka menonton video teknis, jadi saya hampir tidak pernah memberi vote pada tautan YouTube
    • Kalau audio juga bisa diputar, ini seperti impian para usil
      Tidak mengejutkan Jabra merespons cepat. Mereka berfokus pada pasar enterprise, jadi sensitivitas terhadap keamanan lebih tinggi
      Sony sekarang lebih berfokus sebagai merek konsumen, jadi tampaknya responsnya lebih lambat
    • Sudah ada aplikasi yang merekayasa balik protokol komunikasi AirPods
      Yaitu AndroPods dari 2020 dan LibrePods dari 2024
      Namun karena bug stack Bluetooth di Android, perintah tidak bisa dijalankan tanpa hak akses root
      Isu terkait: Google Issue Tracker

  • Ketika OpenBSD mengatakan tidak akan mengembangkan Bluetooth, semua orang marah, tetapi sekarang terlihat itu keputusan yang bijak
    Bluetooth adalah standar yang kompleks dan longgar, dan bahkan perangkat premium seperti Sony WH1000 pun bukan pengecualian
    Saya juga memakai AirPods Pro dan WH1000-XM5, tetapi saya memang tahu Bluetooth pada akhirnya adalah ‘hack di atas hack
    Hampir tidak ada cara untuk melihat keadaan internalnya, bahkan kekuatan sinyal pun tidak ditampilkan

    • Ini bukan masalah Bluetooth itu sendiri, melainkan karena chipset Airoha dikirim dengan antarmuka debug yang memungkinkan pembacaan memori SoC tanpa autentikasi
      Katanya bahkan email keamanan pun tidak berfungsi
    • Saya jadi berpikir, bukankah lebih baik mengirim audio lewat Wi‑Fi saja
      Setidaknya satu kekhawatiran berkurang
    • Koneksi kabel kadang hanya sedikit merepotkan, tetapi saat memakai monitor eksternal atau keyboard, itu cukup merepotkan
    • Ungkapan “semua orang meninggalkan OpenBSD” itu berlebihan. Masih ada orang seperti saya yang tetap memakainya
    • Sampai-sampai muncul lelucon bahwa kalau begitu USB juga harus diblokir, karena vektor serangan ada di mana-mana

  • Saya mencoba mereproduksi langkah-langkah di whitepaper dengan firmware terbaru Sony WH-1000XM4, tetapi tidak ada respons terhadap perintah atau malah muncul error
    Saya tidak bisa sepenuhnya yakin, tetapi tampaknya sudah ditambal

  • Singkatnya, headset dari berbagai produsen rentan baik di Bluetooth Classic maupun BLE
    Mereka menggunakan protokol RACE yang berjalan tanpa autentikasi, dan lewat itu dimungkinkan dump memori serta pencurian kunci
    Dengan kunci ini, penyerang bisa menyamar sebagai headset palsu untuk mengakses smartphone
    Menerima panggilan, menyadap mikrofon, dan sebagainya juga dimungkinkan, sehingga bisa berujung pada melewati autentikasi dua faktor
    Satu-satunya mitigasi adalah tidak memakai perangkat yang rentan atau mematikan Bluetooth
    Saya penasaran apakah chipset untuk mobil juga memiliki masalah yang sama

  • Pada akhirnya, yang memulai penghapusan jack 3.5mm adalah Apple. Alasan resminya adalah “tahan air”

    • Saat Apple menyebut alasannya sebagai “courage”, semua orang menertawakannya, tetapi akhirnya produsen lain juga ikut
      Sekarang sulit mencari ponsel premium yang masih punya jack
    • Sebenarnya ada juga banyak ponsel tahan air yang tetap memiliki jack
    • Apple menyebut penghematan ruang dan strategi jangka panjang sebagai alasannya
      Sebagai gantinya, ekosistem headphone USB-C tumbuh, dan dongle DAC berkualitas tinggi juga menjadi alternatif
      Daftar terkait: USB-C Headphones
    • Sekarang hampir tidak pernah melihat orang memakai earphone berkabel. Rasanya seperti orang yang bersikeras hanya memakai CD

  • Saya belum sempat menonton videonya, tetapi hanya dari teks di halaman itu saja sudah terlihat bahwa ini adalah kerentanan tingkat pengambilalihan perangkat sepenuhnya
    Yang paling mengesankan adalah penyerang bisa menyerang smartphone lewat headphone
    Presentasinya membahas gambaran kerentanan, dampak, sulitnya proses patching, dan bahkan perilisan alat modifikasi firmware

    • Jika diringkas, tahap serangannya adalah,
      1. terhubung dari jarak dekat
      2. dump memori tanpa autentikasi
      3. mengekstrak Bluetooth Link Key dari dump
      4. menggunakan kunci yang diekstrak untuk masuk ke smartphone sebagai headset palsu
        Setelah itu, penyerang dapat mengendalikan smartphone dengan hak akses periferal tepercaya
        Sumber: komentar HN

  • Razer tidak disebutkan, tetapi pemancar Blackshark V3 Pro menggunakan chip Airoha AB1571DN
    Sisi headset-nya tidak jelas, dan riwayat pembaruan firmware juga sulit ditemukan

  • Wakil Presiden Kamala Harris pernah mengatakan dalam wawancara baru-baru ini bahwa “earphone nirkabel tidak aman”
    tautan video

    • Tidak bermaksud politis, tetapi saya tidak mempercayai pernyataan Harris
      Bluetooth sejak awal memang teknologi dengan keamanan rendah, dan kebanyakan implementasinya longgar
      Video referensi: tautan YouTube
    • Keamanan Bluetooth secara umum memang lemah
      Sulit bagi pengguna untuk memverifikasi keamanan koneksi, dan autentikasi berbasis PIN juga tidak praktis
      Makalah terkait: makalah arXiv
    • Yang dibicarakan Harris tampaknya bukan kerentanan nyata, melainkan langkah kebijakan berdasarkan kesadaran atas potensi risiko seperti ini
    • Tampaknya kerentanan ini sudah diungkap sekitar bulan Juni, jadi saya penasaran apakah waktu wawancaranya terjadi sebelum itu

  • Sangat disayangkan saat demo ada orang-orang yang mengganggu dengan menelepon iseng ke nomor telepon

  • Gara-gara presentasi ini, beberapa lembaga negara mungkin merasa tidak nyaman

    • Tetapi ada juga negara yang justru mungkin senang, tergantung siapa yang sebelumnya sudah mengetahui kerentanan ini