به نقل از خبرگزاری صحت خبر و اطلاعاتی که از دیجیاتو منتشر شده، محققان اعلام کردهاند که این آسیبپذیریها به هکرها این امکان را میدهد که مکالمات کاربران را شنود کنند و به دادههای حساسی مثل تاریخچه تماسها و لیست مخاطبین دست یابند.
بر بنیاد گزارش BleepingComputer، این آسیبپذیریها در جریان کنفرانس امنیتی TROOPERS در آلمان توسط شرکت امنیت سایبری ERNW افشا شدهاند. گروه تحقیقاتی این شرکت تاکید میکند که هرچند سوءاستفاده از این نقصها نیاز به دانش فنی بالا و نزدیکی فیزیکی دارد، اما هنوز هم میتوانند سناریوهای خطرناکی برای کاربران ایجاد کنند.
این نقصها با شناسههای CVE-۲۰۲۵-۲۰۷۰۰، CVE-۲۰۲۵-۲۰۷۰۱ و CVE-۲۰۲۵-۲۰۷۰۲ شناسایی شدهاند و به مهاجمان این امکان را میدهند که کنترل دستگاه صوتی آسیبپذیر را به دست گیرند و در برخی موارد به تاریخچه تماسها و مخاطبین دست پیدا کنند.
محققان ERNW اعلام کردهاند که با بهرهبرداری از یکی از این آسیبپذیریها، موفق به دسترسی به محتوای در حال پخش از هدفون کاربر شدهاند که تصویر فوق این واقعیت را نشان میدهد.
بین برندهایی که محصولات آنها تحت تأثیر این آسیبپذیریها قرار گرفتهاند، نامهای شناختهشدهای مانند سونی، Jabra و JBL وجود دارند. محصولات برخی برندهای دیگر همچون Bose، MoerLabs، Beyerdynamic و Marshall نیز در این شرایط قرار دارند.
محققان توانستهاند با استخراج کلید اتصال بلوتوث از حافظه دستگاه، تماسهایی با شماره دلخواه برقرار کنند و صدای محیط اطراف گوشی را شنود کنند. به گفته ERNW، در مواردی حتی امکان بازنویسی فریمور دستگاه و اجرای کدهای مخرب از راه دور نیز وجود دارد که این موضوع میتواند به تولید بدافزارهایی با قابلیت گسترش بین دستگاهها منجر گردد.
البته راهاندازی این نوع حملات در ابعاد وسیع با محدودیتهایی همچون نیاز به نزدیکی فیزیکی و دانش فنی بالا همراه است. پژوهشگران میگویند این حملات بیشتر به منظور هدف قرار دادن افراد تاثیرگذار نظیر خبرنگاران، فعالان، دیپلماتها و افرادی که در صنایع حساس فعالیت دارند، به کار میروند.
هرچند این آسیبپذیریها از نظر فنی جدی هستند، طبق تحقیقات PCWorld تا به حال هیچ نشانهای از سوءاستفاده گسترده از آنها در دنیای واقعی مشاهده نشده است.
شرکت Airoha هماکنون نسخه جدیدی از کیت توسعه نرمافزاری (SDK) خود را ارائه داده که شامل اصلاحیههای امنیتی لازم است، اما طبق بررسی رسانه آلمانی Heise، بهروزرسانی فریمور برای نیمی از دستگاههای آسیبپذیر پیش از ۲۷ مه (قبل از عرضه SDK جدید) منتشر شده و هنوز مشخص نیست که آیا این آپدیتها شامل اصلاحات موردنظر هستند یا خیر.
