“络达蓝牙芯片曝三漏洞，ERNW发现可被窃听及数据获取”

德国ERNW安全公司研究人员发现，络达（Airoha）蓝牙芯片存在三个安全漏洞。这类芯片广泛用于主流品牌的无线耳机和音箱产品中。

在10至20米范围内，攻击者可利用这些漏洞实施以下行为：

- 在设备处于开机但未连接状态时，通过设备内置麦克风窃听周围声音；

- 获取联系人列表、通话记录或当前播放的媒体信息等敏感数据，具体取决于设备型号及所运行的软件版本。

这三个漏洞编号分别为CVE-2025-20700、CVE-2025-20701和CVE-2025-20702。它们允许攻击者绕过蓝牙连接过程中的身份验证机制，从而在未经用户授权的情况下连接设备。攻击者还可借助隐藏的芯片协议对设备内存进行读写操作，并控制部分功能。不过，此类攻击仅能在蓝牙信号有效范围内实施，在无遮挡的理想环境下最远可达20米。

目前，芯片制造商络达已经发布了相应的修复补丁。然而，补丁是否能及时更新到终端设备上，取决于各个品牌厂商的推送进度。建议使用相关设备的用户关注设备品牌官方渠道发布的消息，及时获取并安装固件更新。