Negli ultimi anni, la diffusione capillare di cuffie Bluetooth e auricolari true wireless ha trasformato il modo in cui ascoltiamo musica, effettuiamo chiamate e interagiamo con i nostri dispositivi mobili. Tuttavia, una recente scoperta solleva serie preoccupazioni sulla sicurezza di questi accessori; vulnerabilità gravi nei chip Bluetooth prodotti da Airoha possono trasformare milioni di dispositivi audio in potenziali strumenti di sorveglianza.
Queste falle non sono semplici bug trascurabili; implicano la possibilità di intercettazioni, accesso non autorizzato alla memoria del dispositivo e persino la trasmissione di malware tra dispositivi vulnerabili. I marchi coinvolti includono nomi come Sony, Bose, JBL, Marshall e Jabra, tutti affetti da un problema che riguarda l’intera catena produttiva e non solo il singolo prodotto.
Le vulnerabilità nei chip Airoha
Le vulnerabilità sono state presentate durante la conferenza TROOPERS dai ricercatori di ERNW. Si concentrano su tre falle principali catalogate come CVE-2025-20700, CVE-2025-20701 e CVE-2025-20702. Queste permettono, senza necessità di pairing o autenticazione, l’accesso remoto alla memoria RAM e flash del dispositivo. L’accesso avviene tramite protocolli BLE GATT e Bluetooth BR/EDR (noto come Bluetooth Classic).
L’impatto è critico: leggere media in riproduzione, estrarre chiavi Bluetooth, impersonare dispositivi fidati e stabilire connessioni HFP per attivare microfoni da remoto. In pratica, un malintenzionato entro un raggio di 10 metri può trasformare un paio di cuffie in una stazione di ascolto.
Purtroppo queste vulnerabilità non sono teoriche. I ricercatori hanno dimostrato exploit reali; per esempio, l’intercettazione delle conversazioni e l’attivazione di chiamate arbitrarie da smartphone connessi. La CVE-2025-20702 è la più grave; con un punteggio CVSS di 9.6 su 10 consente il controllo completo della memoria del dispositivo. Il codice dell’exploit è già stato sviluppato, sebbene non ancora rilasciato pubblicamente. Anche se l’attacco richiede una certa competenza tecnica, il rischio per soggetti sensibili è elevato; giornalisti, attivisti e diplomatici sono le categorie particolarmente esposte.
Dispositivi Bluetooth coinvolti
I dispositivi vulnerabili includono numerosi modelli molto diffusi; tra questi, Sony WH-1000XM4/XM5, WF-1000XM5, Marshall MAJOR V, JBL Live Buds 3, Bose QuietComfort Earbuds e molti altri. Anche modelli professionali, speaker wireless e microfoni Bluetooth rientrano nella lista. Parte del problema deriva dal fatto che molti produttori non sono consapevoli del fatto che i moduli Bluetooth impiegati nei loro dispositivi utilizzano chip Airoha; questo perché la progettazione è spesso delegata a terzi.
Airoha ha rilasciato un aggiornamento SDK a inizio giugno 2025, fornendo le basi per lo sviluppo delle patch. Tuttavia, nessun aggiornamento firmware è stato reso disponibile pubblicamente al momento della stesura dell’articolo.
Alcuni vendor sembrano aver mitigato due delle tre CVE, ma è ancora incerto se in modo intenzionale. Inoltre, l’esistenza di un protocollo custom non documentato rende la patch difficile da sviluppare e implementare.
Rischi per la privacy e mitigazioni consigliate
Il principale pericolo risiede nella possibilità di trasformare dispositivi personali in strumenti di sorveglianza silenziosa. Basta la prossimità fisica per sfruttare le vulnerabilità; non serve alcun pairing o autorizzazione da parte dell’utente.
Le minacce più gravi includono ascolto ambientale, furto di contatti e cronologia chiamate, controllo remoto del microfono, accesso a file audio e propagazione di codice dannoso tra dispositivi vulnerabili.
Per ridurre i rischi, le raccomandazioni includono: disattivare il Bluetooth quando non strettamente necessario; monitorare i siti dei produttori per eventuali aggiornamenti firmware; evitare l’uso di cuffie in ambienti sensibili; ove possibile, preferire soluzioni cablate per le comunicazioni riservate.
La scoperta di queste vulnerabilità mette in evidenza una verità scomoda ma necessaria: anche i dispositivi più quotidiani possono diventare strumenti di sorveglianza se l’aspetto sicurezza viene trascurato. Intanto, gli utenti devono adottare un atteggiamento prudente; la sicurezza, nel mondo digitale, parte sempre dalla consapevolezza.
