16 hours ago
4
Kepritoday.com – Sebuah laporan baru dari firma keamanan siber Jerman, ERNW, telah mengungkap celah keamanan serius pada earbud dan headphone Bluetooth populer. Temuan ini berpotensi mengubah perangkat audio sehari-hari menjadi alat penyadap.
Kerentanan Chip Airoha Memungkinkan Akses Tanpa Otentikasi
Pada konferensi TROOPERS 2025, peneliti dari ERNW merinci kerentanan pada chip Bluetooth Airoha. Komponen ini ditemukan di banyak earbud TWS dan headphone over-ear dari merek-merek besar seperti Sony, JBL, dan Bose. Celah-celah ini, yang terdaftar sebagai CVE-2025-20700, CVE-2025-20701, dan CVE-2025-20702, memiliki skor tingkat keparahan tinggi (8.8 dan 9.6 pada skala CVSS).
Kerentanan ini memungkinkan peretas dalam jangkauan Bluetooth (sekitar 10 meter) untuk mengakses memori perangkat tanpa perlu melakukan pairing atau otentikasi. Menurut detail teknis yang dibagikan ERNW di Insinuator.net, masalah ini berasal dari cara kerja protokol proprietary Airoha di seluruh mode Bluetooth Low Energy (BLE) dan Classic (BR/EDR).
Dengan alat yang tepat, penyerang dapat membajak koneksi, mencuri kunci tautan, meniru headset, atau bahkan mengendalikan smartphone yang terhubung. Dalam salah satu demo, peneliti menunjukkan bahwa dimungkinkan untuk memicu panggilan ulang atau mengakses log panggilan pada ponsel Android, bahkan mengaktifkan mikrofon, menimbulkan kekhawatiran akan kemungkinan pengawasan.
Daftar Perangkat yang Terdampak dan Saran Keamanan
Perangkat yang dilaporkan terpengaruh termasuk Sony WH-1000XM6, JBL Live Buds 3, Bose QuietComfort Earbuds, dan Jabra Elite 8 Active, di antara banyak lainnya.
Berikut adalah daftar perangkat yang dikonfirmasi terpengaruh oleh kerentanan ini:
- Beyerdynamic Amiron 300
- Bose QuietComfort Earbuds
- EarisMax Bluetooth Auracast Sender
- Jabra Elite 8 Active
- JBL Endurance Race 2
- JBL Live Buds 3
- Jlab Epic Air Sport ANC
- Marshall ACTON III
- Marshall MAJOR V
- Marshall MINOR IV
- Marshall MOTIF II
- Marshall STANMORE III
- Marshall WOBURN III
- MoerLabs EchoBeatz
- Sony CH-720N
- Sony Link Buds S
- Sony ULT Wear
- Sony WF-1000XM3
- Sony WF-1000XM4
- Sony WF-1000XM5
- Sony WF-C500
- Sony WF-C510-GFP
- Sony WH-1000XM4
- Sony WH-1000XM5
- Sony WH-1000XM6
- Sony WH-CH520
- Sony WH-XB910N
- Sony WI-C100
- Teufel Tatws2
Airoha telah mengeluarkan Software Development Kit (SDK) yang telah diperbaiki pada 4 Juni, namun hingga 30 Juni, belum ada pembaruan firmware yang diluncurkan oleh merek-merek besar. Hal ini sebagian disebabkan oleh rantai pasokan yang kompleks.
Sementara menunggu pembaruan, pengguna disarankan untuk:
- Secara teratur memeriksa aplikasi resmi (seperti Sony Headphones Connect atau JBL Headphones) untuk pembaruan firmware.
- Mematikan Bluetooth di tempat umum atau lingkungan sensitif, seperti rapat.
- Menghindari penggunaan headset Bluetooth untuk percakapan sensitif sampai pembaruan dikonfirmasi.
Penemuan ini menyoroti bagaimana bahkan aksesori yang paling tepercaya sekalipun dapat menjadi titik lemah dalam privasi digital. Dengan jutaan perangkat yang terpengaruh yang sedang digunakan, kini terserah kepada produsen untuk bertindak cepat dan mengamankannya.
