การแฮ็กหูฟังบลูทูธ: เส้นทางใหม่ในการเจาะสมาร์ตโฟน

 (media.ccc.de)
16 คะแนน โดย GN⁺ 2026-01-02 | 1 ความคิดเห็น | แชร์ทาง WhatsApp
  • ช่องโหว่ในชิปเสียง Bluetooth อาจทำให้หูฟังถูกยึดควบคุมได้ทั้งหมด และส่งผลให้ ขยายเส้นทางโจมตีไปยังสมาร์ตโฟนที่เชื่อมต่ออยู่ ได้
  • ยืนยันแล้วว่าหูฟัง/เอียร์บัดจากแบรนด์หลักอย่าง Sony, Marshall, Jabra ได้รับผลกระทบ
  • พบช่องโหว่ 3 รายการใน Bluetooth audio SoC ของ Airoha ที่ใช้ในผลิตภัณฑ์ ได้แก่ CVE-2025-20700, CVE-2025-20701, CVE-2025-20702
  • อาศัยจุดที่หูฟังเป็น อุปกรณ์ Bluetooth ที่เชื่อถือได้ เพื่อพิสูจน์ความเป็นไปได้ในการโจมตีสมาร์ตโฟนผ่าน RACE ซึ่งเป็น Bluetooth protocol แบบกำหนดเอง ที่เข้าถึงเฟิร์มแวร์และหน่วยความจำได้
  • เตือนว่าความปลอดภัยของอุปกรณ์ Bluetooth รอบข้างอาจกลายเป็น จุดอ่อนใหม่ของความปลอดภัยสมาร์ตโฟน

ภาพรวมช่องโหว่ของชิป Airoha

  • ทีมวิจัยค้นพบช่องโหว่ 3 รายการคือ CVE-2025-20700, CVE-2025-20701, CVE-2025-20702 ในชิปเสียง Bluetooth ยอดนิยมที่พัฒนาโดย Airoha
    • ชิปเหล่านี้ถูกใช้อย่างแพร่หลายในหูฟัง Bluetooth และเอียร์บัดของผู้ผลิตหลายราย
  • ช่องโหว่อาจเปิดทางให้ ยึดควบคุมอุปกรณ์ได้ทั้งหมด และในการสาธิตก็แสดงให้เห็นผลกระทบทันทีผ่านหูฟังรุ่นใหม่ล่าสุด
  • ผู้โจมตีสามารถใช้ อุปกรณ์ที่อยู่ในความสัมพันธ์เชื่อถือกัน เช่น สมาร์ตโฟนที่จับคู่ไว้ เป็นเป้าหมายโจมตีลำดับถัดไปได้

โปรโตคอล RACE และการเข้าถึงเฟิร์มแวร์

  • ระหว่างการวิจัยมีการค้นพบ Bluetooth protocol แบบกำหนดเองที่ทรงพลังชื่อ RACE
    • โปรโตคอลนี้เปิดให้ อ่านและเขียนข้อมูลลงในแฟลชและ RAM ของหูฟังได้
  • สิ่งนี้เปิดความเป็นไปได้ในการ อ่าน แก้ไข หรือปรับแต่งเฟิร์มแวร์
    • และทำให้หูฟัง Bluetooth ที่ติดเชื้อสามารถถูกใช้เพื่อ โจมตีสมาร์ตโฟนที่จับคู่ไว้ ได้
    • หาก Bluetooth Link Key ถูกขโมย ก็อาจ ปลอมตัวเป็นอุปกรณ์รอบข้าง ได้
    • โครงสร้างที่สมาร์ตโฟนเชื่อถืออุปกรณ์รอบข้างอยู่แล้ว กลายเป็นเวกเตอร์การโจมตีโดยตัวมันเอง
  • ทีมวิจัยใช้ความสามารถนี้เพื่อวางรากฐานสำหรับ แพตช์ความปลอดภัยและการขยายงานวิจัย ต่อไป

ผู้ผลิตและผลิตภัณฑ์ที่ได้รับผลกระทบ

  • อุปกรณ์ที่ได้รับผลกระทบจากช่องโหว่ที่ถูกกล่าวถึง ได้แก่ Sony (WH1000-XM5, WH1000-XM6, WF-1000XM5), Marshall (Major V, Minor IV), Beyerdynamic (AMIRON 300), Jabra (Elite 8 Active)
  • Airoha เป็นผู้ให้บริการ Bluetooth SoC รวมถึง reference design และ SDK
    • แบรนด์อุปกรณ์เสียงชื่อดังจำนวนมากสร้างผลิตภัณฑ์บนพื้นฐานของ Airoha SoC และ SDK
    • โดยเฉพาะในตลาด TWS (True Wireless Stereo) ที่มีส่วนแบ่งสูง

ปัญหาการรับรู้ของผู้ใช้และการอัปเดตความปลอดภัย

  • ทีมวิจัยชี้ว่าผู้ผลิตบางราย ไม่ได้ให้ข้อมูลเรื่องช่องโหว่และการอัปเดตความปลอดภัยแก่ผู้ใช้อย่างเพียงพอ
  • เป้าหมายของการเผยแพร่ครั้งนี้คือแจ้งให้ผู้ใช้ทราบถึงปัญหา และเปิดเผยรายละเอียดทางเทคนิคเพื่อให้นักวิจัย สามารถศึกษาความปลอดภัยของอุปกรณ์ที่ใช้ Airoha ต่อได้
  • พร้อมกับการแถลงข่าว ได้มีการเผยแพร่ เครื่องมือตรวจสอบว่าอุปกรณ์ได้รับผลกระทบหรือไม่ และ เครื่องมือวิเคราะห์สำหรับนักวิจัย

นัยสำคัญโดยทั่วไปของความปลอดภัยอุปกรณ์ Bluetooth รอบข้าง

  • เมื่อความปลอดภัยของสมาร์ตโฟนแข็งแกร่งขึ้น ผู้โจมตีก็อาจย้ายจุดสนใจไปยัง อุปกรณ์รอบข้าง (หูฟัง เอียร์บัด เป็นต้น)
  • หาก Bluetooth Link Key ถูกขโมย ผู้โจมตีอาจ ปลอมตัวเป็นอุปกรณ์รอบข้างเพื่อเข้าถึงฟังก์ชันของสมาร์ตโฟน ได้
  • ด้วยเหตุนี้ การเสริมความปลอดภัยและการจัดการช่องโหว่ของอุปกรณ์ Bluetooth รอบข้าง จึงมีความสำคัญ

บทความที่เกี่ยวข้อง

1 ความคิดเห็น

 
GN⁺ 2026-01-02
ความคิดเห็นบน Hacker News

  • ดีใจที่ในที่สุดบทความนี้ก็ได้รับความสนใจ
    เป็นเนื้อหาที่นำเสนอในงาน 39C3 ที่ฮัมบูร์กเมื่อไม่นานมานี้ โดยชุดหูฟังบลูทูธทั่วไปที่ใช้ Airoha SoC สามารถถูกยึดครองได้ทั้งหมดโดยไม่ต้องยืนยันตัวตน เพียงแค่ใช้ โน้ตบุ๊ก Linux (CVE-2025-20700~20702)
    เข้าถึงได้ทั้ง firmware dump, การตั้งค่าผู้ใช้, session key, ไปจนถึงแทร็กที่กำลังเล่นอยู่ในขณะนั้น
    แบรนด์ที่ได้รับผลกระทบมีเช่น Sony(WH1000-XM5/XM6, WF-1000XM5), Marshall(Major V, Minor IV), Beyerdynamic(AMIRON 300), Jabra(Elite 8 Active) เป็นต้น
    ผู้ผลิตส่วนใหญ่ตอบสนองช้า แต่ Jabra ถือเป็นข้อยกเว้นที่ตอบสนองได้รวดเร็ว
    จุดที่น่าสนใจคือ แม้จะมีช่องโหว่นี้ Bluetooth LE “RACE” protocol ของ Airoha ก็น่าจะยังถูกใช้งานต่อไป
    ซึ่งทำให้ผู้ใช้ Linux มีโอกาสควบคุมชุดหูฟังได้ละเอียดขึ้น
    ตัวอย่างเช่น สลับฟังก์ชัน “hearthrough” โดยอัตโนมัติเมื่อปิดเสียง
    เครื่องมือที่เกี่ยวข้อง: RACE Reverse Engineered - CLI Tool
    ผมคิดว่าการดักฟังเสียงระยะไกลในระดับนี้เป็นประเด็นที่ควรถูกจัดการในระดับความมั่นคงของชาติ

    • ผมเป็นหนึ่งในนักวิจัย
      หลายคนชอบอ่านตัวหนังสือมากกว่าดูวิดีโอ เลยฝากข้อมูลที่เกี่ยวข้องไว้
      บล็อก: Bluetooth Headphone Jacking - Full Disclosure
      Whitepaper: ERNW Publications
    • แม้ Sony จะไม่ได้ออกประกาศอย่างเป็นทางการ แต่ผู้ใช้แอปน่าจะได้รับแจ้ง firmware update ที่ปล่อยแบบเงียบ ๆ
      ผู้ผลิตส่วนใหญ่มักใช้บริการ UUID ของตัวเองเพื่อควบคุมการตั้งค่า
      ฝั่ง Android มี open client อย่าง Gadgetbridge แต่ฝั่ง Linux ผมไม่ค่อยแน่ใจ
    • ผมเองก็ไม่ค่อยดูวิดีโอสายเทคนิค เลยแทบไม่โหวตลิงก์ YouTube เลย
    • ถ้าสามารถเล่นเสียงออกไปได้ด้วย ก็คงเป็นความฝันของสายป่วนเลย
      ไม่แปลกที่ Jabra จะตอบสนองเร็ว เพราะเน้นตลาดองค์กรจึงมี ความอ่อนไหวด้านความปลอดภัย สูง
      ส่วน Sony ตอนนี้เป็นแบรนด์ฝั่งผู้บริโภคมากกว่า เลยดูตอบสนองช้ากว่า
    • มีแอปที่ reverse engineer โปรโตคอลการสื่อสารของ AirPods อยู่แล้ว
      ได้แก่ AndroPods จากปี 2020 และ LibrePods จากปี 2024
      แต่เพราะ Bluetooth stack bug ของ Android ถ้าไม่มีสิทธิ์ root ก็จะสั่งคำสั่งไม่ได้
      ประเด็นที่เกี่ยวข้อง: Google Issue Tracker

  • ตอนที่ OpenBSD บอกว่าจะไม่พัฒนาบลูทูธ ทุกคนต่างไม่พอใจ แต่ตอนนี้ดูแล้วนั่นเป็นการตัดสินใจที่ฉลาด
    บลูทูธเป็น มาตรฐานที่ซับซ้อนและหละหลวม และแม้แต่อุปกรณ์พรีเมียมอย่าง Sony WH1000 ก็ไม่ได้เป็นข้อยกเว้น
    ผมเองก็ใช้ทั้ง AirPods Pro และ WH1000-XM5 แต่ก็รู้อยู่แล้วว่าบลูทูธสุดท้ายคือ “แฮ็กซ้อนแฮ็ก
    แทบไม่มีทางมองเห็นสถานะภายในได้เลย กระทั่งระดับความแรงสัญญาณก็ยังไม่แสดง

    • นี่ไม่ใช่ปัญหาของบลูทูธเอง แต่เป็นเพราะ ชิปเซ็ต Airoha ถูกส่งออกมาพร้อม debug interface ที่ยังอ่านหน่วยความจำของ SoC ได้โดยไม่ต้องยืนยันตัวตน
      ว่ากันว่าแม้แต่อีเมลด้านความปลอดภัยก็ยังใช้การไม่ได้
    • ผมกลับคิดว่าถ้าส่งเสียงผ่าน Wi‑Fi อาจจะดีกว่า
      จะได้มีเรื่องให้กังวลน้อยลงหนึ่งอย่าง
    • การต่อสายบางครั้งอาจแค่ไม่สะดวกเล็กน้อย แต่เวลาใช้งานจอนอกหรือคีย์บอร์ดภายนอกก็ยุ่งยากพอตัว
    • คำว่า “ทุกคนทิ้ง OpenBSD ไปหมดแล้ว” ก็พูดเกินจริง ยังมีคนอย่างผมที่ใช้อยู่
    • ถึงขั้นมีมุกว่าถ้างั้นก็ควรบล็อก USB ไปด้วยไหม เพราะ attack vector มีอยู่ทุกที่

  • ผมลองทำตามขั้นตอนใน whitepaper กับ Sony WH-1000XM4 ที่อัปเดต firmware ล่าสุดแล้ว แต่ไม่มีการตอบกลับต่อคำสั่งหรือคืนค่า error กลับมา
    ยังยืนยันไม่ได้เต็มที่ แต่ ดูเหมือนว่าจะถูกแพตช์แล้ว

  • ถ้าสรุปสั้น ๆ ก็คือ ชุดหูฟังจากหลายผู้ผลิต มีช่องโหว่ทั้งบน Bluetooth Classic และ BLE
    โดยใช้ RACE protocol ที่ทำงานได้โดยไม่ต้องยืนยันตัวตน และผ่านมันสามารถทำ memory dump กับขโมยคีย์ได้
    ผู้โจมตีสามารถใช้คีย์นี้ ปลอมตัวเป็นชุดหูฟังปลอม เพื่อเข้าถึงสมาร์ตโฟนได้
    ทั้งรับสาย แอบฟังไมโครโฟน และอาจลามไปถึง การข้ามการยืนยันตัวตนสองชั้น ได้
    วิธีบรรเทามีแค่ไม่ใช้อุปกรณ์ที่มีช่องโหว่หรือปิดบลูทูธเท่านั้น
    เลยอดสงสัยไม่ได้ว่าชิปเซ็ตในรถยนต์จะมีปัญหาเดียวกันไหม

  • สุดท้ายแล้วคนที่เริ่มเอา แจ็ก 3.5 มม. ออกก็คือ Apple โดยให้เหตุผลทางการว่า “กันน้ำ”

    • ตอนที่ Apple พูดว่าเป็นเรื่องของ “ความกล้า (courage)” ทุกคนก็พากันหัวเราะ แต่สุดท้ายผู้ผลิตรายอื่นก็ทำตาม
      ตอนนี้หามือถือระดับพรีเมียมที่ยังมีแจ็กได้ยากแล้ว
    • จริง ๆ แล้วมือถือกันน้ำหลายรุ่นก็ยังมีแจ็กอยู่
    • Apple ยังอ้างเรื่องการประหยัดพื้นที่และกลยุทธ์ระยะยาว
      แทนที่ด้วยระบบนิเวศของ หูฟัง USB-C ที่ใหญ่ขึ้น และ dongle DAC คุณภาพสูงก็กลายเป็นทางเลือกแทน
      รายการที่เกี่ยวข้อง: USB-C Headphones
    • ทุกวันนี้แทบไม่เห็นคนใช้หูฟังมีสายแล้ว ให้ความรู้สึกเหมือนคนที่ยึดติดกับ CD อย่างเดียว

  • ยังไม่ได้ดูวิดีโอ แต่แค่อ่านข้อความบนหน้าเพจก็รู้ได้ว่าเป็นช่องโหว่ระดับ ยึดอุปกรณ์ได้ بالكامل
    สิ่งที่น่าประทับใจเป็นพิเศษคือผู้โจมตีสามารถใช้หูฟังเป็นทางผ่านเพื่อโจมตีสมาร์ตโฟนต่อได้
    ในงานนำเสนอพูดถึงทั้งภาพรวมของช่องโหว่ ผลกระทบ ความยากของกระบวนการแพตช์ และการเปิดเผย เครื่องมือแก้ไข firmware

    • ถ้าสรุปขั้นตอนการโจมตีคือ
      1. เชื่อมต่อในระยะใกล้
      2. ทำ memory dump ได้โดยไม่ต้องยืนยันตัวตน
      3. ดึง Bluetooth Link Key ออกจาก dump
      4. ใช้คีย์ที่ดึงมา เชื่อมต่อกับสมาร์ตโฟนในฐานะชุดหูฟังปลอม
        หลังจากนั้นผู้โจมตีก็สามารถควบคุมสมาร์ตโฟนได้ด้วยสิทธิ์ของอุปกรณ์ต่อพ่วงที่เชื่อถือแล้ว
        ที่มา: คอมเมนต์บน HN

  • ไม่มีการพูดถึง Razer แต่ Blackshark V3 Pro transmitter ใช้ชิป Airoha AB1571DN
    ส่วนฝั่งชุดหูฟังยังไม่ชัดเจน และก็หาประวัติ firmware update ได้ยากด้วย

  • รองประธานาธิบดี Kamala Harris เพิ่งพูดในการสัมภาษณ์เมื่อไม่นานมานี้ว่า “หูฟังไร้สายไม่ปลอดภัย”
    ลิงก์วิดีโอ

    • ไม่ได้มีเจตนาทางการเมือง แต่ผมไม่ค่อยเชื่อคำพูดของ Harris
      บลูทูธเป็นเทคโนโลยีที่ ความปลอดภัยต่ำ มาตั้งแต่แรกอยู่แล้ว และการติดตั้งใช้งานส่วนใหญ่ก็หละหลวม
      วิดีโออ้างอิง: YouTube link
    • โดยทั่วไปความปลอดภัยของบลูทูธก็อ่อนแออยู่แล้ว
      ผู้ใช้ตรวจสอบความปลอดภัยของการเชื่อมต่อได้ยาก และ การยืนยันตัวตนแบบ PIN ก็ใช้งานไม่สะดวก
      งานวิจัยที่เกี่ยวข้อง: arXiv paper
    • สิ่งที่ Harris พูดดูเหมือนจะไม่ใช่ช่องโหว่จริงที่เจาะจง แต่เป็นมาตรการเชิงนโยบายจากการรับรู้ถึง ความเป็นไปได้ของความเสี่ยง นี้
    • ดูเหมือนว่าช่องโหว่นี้ถูกเปิดเผยไปแล้วราวเดือนมิถุนายน เลยสงสัยว่าช่วงเวลาสัมภาษณ์นั้นเกิดขึ้นก่อนหรือหลังจากนั้น

  • น่าเสียดายที่ระหว่างเดโมมีคน โทรป่วนด้วยหมายเลขโทรศัพท์ เพื่อรบกวนการนำเสนอ

  • งานนำเสนอนี้อาจทำให้ หน่วยงานของรัฐ บางแห่งรู้สึกไม่สบายใจ

    • แต่บางประเทศอาจจะ ยินดีเสียด้วยซ้ำ ขึ้นอยู่กับว่าใครรู้เรื่องช่องโหว่นี้มาก่อน