セキュリティ会社 Sentinel One は、CVE-2025-20701 について詳しくここで解説しています。
ハインツ氏とスタインメッツ氏は昨年、完全な攻撃チェーンにより、攻撃者は通話履歴や連絡先の取得、さらには任意の番号へのダイヤルなど、他の悪意のある行為を実行できるようになったと述べた。これらの機能の多くは、デバイスに組み込まれている機能がプラットフォームごとに異なるため、適応される特定のデバイスに依存します。
Airoha の脆弱性の影響を受けるのはデバイスだけではありません。 1 月に研究者らは、WhisperPair という一連の脆弱性を発見しました。これにより、攻撃者は同社独自のプロトコルである Google ファスト ペアを使用して接続された Bluetooth デバイスをハイジャックすることができます。攻撃者は盗聴以外にも、WhisperPair の欠陥を悪用してデバイスの位置を特定する可能性があります。この脆弱性は、Sony、Nothing、JBL、OnePlus、Google 自体を含む 10 メーカーの十数台のデバイスに影響を及ぼします。
実環境で積極的に悪用されているような Bluetooth の脆弱性に関する報告は、あったとしてもほとんどありません。このような攻撃は複雑であることが多く、攻撃者はエクスプロイトを悪用している間、ターゲットの Bluetooth 範囲内に常に留まっている必要があります。このような攻撃の標的になるかもしれないと考えている人は、必要がないときはデバイスの Bluetooth をオフにし、Bluetooth がオンになっているときのリスクを常に認識しておく必要があります。
