Una serie di vulnerabilità critiche nei chipset Bluetooth prodotti da Airoha Systems (CVE-2025-20700, CVE-2025-20701, CVE-2025-20702, punteggio CVSS 8.8–9.6) mette a rischio smartphone, tablet e dispositivi audio come cuffie e auricolari. Gli attacchi sfruttano il protocollo RACE e mancanze di autenticazione su connessioni BLE e Classic, permettendo agli aggressori di accedere a memoria, microfoni e funzioni di chiamata senza interazione dell’utente.
I dispositivi vulnerabili includono modelli Sony WH/WF, Bose QuietComfort, JBL Live Buds, Marshall MAJOR/MINOR, Jabra, Teufel e altri. L’attacco può propagarsi dalla periferica audio allo smartphone, consentendo l’estrazione di contatti, messaggi e persino l’uso di assistenti vocali per inviare comandi.
I produttori hanno iniziato a rilasciare patch firmware, ma la disponibilità e l’adozione restano limitate. La mitigazione passa dall’aggiornamento tempestivo dei dispositivi e dal controllo delle connessioni Bluetooth non essenziali.
