이 글이 드디어 주목받게 되어 기쁨임
최근 함부르크의 39C3에서 발표된 내용으로, Airoha SoC를 사용하는 일반적인 블루투스 헤드셋이 인증 없이 리눅스 노트북만으로 완전히 장악될 수 있음 (CVE-2025-20700~20702)
펌웨어 덤프, 사용자 설정, 세션 키, 현재 재생 중인 트랙까지 접근 가능함
영향을 받는 브랜드로는 Sony(WH1000-XM5/XM6, WF-1000XM5), Marshall(Major V, Minor IV), Beyerdynamic(AMIRON 300), Jabra(Elite 8 Active) 등이 있음
대부분의 제조사는 대응이 느렸지만, Jabra는 예외적으로 빠르게 대응했음
흥미로운 점은, 이 취약점에도 불구하고 Airoha의 Bluetooth LE “RACE” 프로토콜이 계속 사용될 가능성이 높다는 것임
덕분에 리눅스 사용자는 헤드셋을 더 세밀하게 제어할 수 있는 기회를 얻게 됨
예를 들어, 음소거 시 “hearthrough” 기능을 자동으로 전환하는 식임
관련 도구: RACE Reverse Engineered - CLI Tool
이런 수준의 원격 오디오 감청은 국가 안보 차원에서도 다뤄야 할 문제라고 생각함
Sony가 공식 공지를 내진 않았지만, 앱 사용자들은 조용히 배포된 펌웨어 업데이트 알림을 받았을 것 같음
대부분의 제조사는 설정 제어를 위해 자체 UUID 서비스를 사용함
Android용으로는 Gadgetbridge 같은 오픈 클라이언트가 있지만, Linux용은 잘 모르겠음
나도 기술 영상은 잘 안 보는 편이라, YouTube 링크엔 거의 투표하지 않음
오디오를 재생할 수도 있다면 장난꾸러기들의 꿈일 듯함
Jabra가 빠르게 대응한 건 놀랍지 않음. 기업 시장 중심이라 보안 민감도가 높기 때문임
Sony는 이제 소비자 중심 브랜드라 대응이 느린 듯함
AirPods의 통신 프로토콜을 역공학한 앱이 이미 있음
2020년의 AndroPods와 2024년의 LibrePods임
하지만 Android의 Bluetooth 스택 버그 때문에 루트 권한이 없으면 명령을 실행할 수 없음
관련 이슈: Google Issue Tracker
OpenBSD가 블루투스를 개발하지 않겠다고 했을 때 모두 화냈지만, 지금 보면 그게 현명한 결정이었음
블루투스는 복잡하고 허술한 표준이며, Sony WH1000 같은 고급 기기도 예외가 아님
나도 AirPods Pro와 WH1000-XM5를 쓰지만, 블루투스는 결국 ‘해킹 위에 해킹’이라는 걸 알고 있었음
신호 세기조차 표시되지 않는 등, 내부 상태를 들여다볼 방법이 거의 없음
이건 블루투스 자체 문제가 아니라, Airoha 칩셋이 인증 없이 SoC 메모리를 읽을 수 있는 디버그 인터페이스를 그대로 출하한 탓임
보안 이메일조차 작동하지 않았다고 함
차라리 Wi-Fi로 오디오 전송하는 게 낫지 않을까 생각함
걱정거리가 하나 줄어듦
케이블 연결은 때로는 사소한 불편이지만, 외부 모니터나 키보드를 쓸 때는 꽤 번거로움
“모두가 OpenBSD를 떠났다”는 표현은 과장임. 나처럼 여전히 쓰는 사람도 있음
그럼 USB도 막아야 하지 않겠냐는 농담이 나올 정도로, 공격 벡터는 어디에나 있음
Sony WH-1000XM4 최신 펌웨어로 화이트페이퍼의 단계를 재현해봤는데, 명령 응답이 없거나 오류가 반환됨
완전히 확신할 수는 없지만, 패치된 것으로 보임
요약하자면, 여러 제조사의 헤드셋이 Bluetooth Classic과 BLE 모두에서 취약함
인증 없이 작동하는 RACE 프로토콜을 사용하며, 이를 통해 메모리 덤프와 키 탈취가 가능함
공격자는 이 키로 기기를 가짜 헤드셋으로 위장해 스마트폰에 접근할 수 있음
통화 수락, 마이크 도청 등도 가능해 2차 인증 우회까지 이어질 수 있음
완화 방법은 취약 기기를 사용하지 않거나 블루투스를 끄는 것뿐임
차량용 칩셋에도 같은 문제가 있을지 궁금함
결국 3.5mm 잭을 없앤 건 Apple이 시작이었음. 공식 이유는 “방수”였음
Apple이 “용기(courage) ”라는 이유를 댔을 때 다들 비웃었지만, 결국 다른 제조사도 따라 했음
이제는 잭이 있는 고급폰을 찾기 어려움
사실 방수폰 중에도 잭이 있는 경우가 많음
Apple은 공간 절약과 장기 전략을 이유로 들었음
대신 USB-C 헤드폰 생태계가 커졌고, 고품질 DAC 동글도 대안이 되었음
관련 목록: USB-C Headphones
요즘은 유선 이어폰을 쓰는 사람을 거의 못 봄. 마치 CD만 고집하는 사람처럼 느껴짐
영상은 아직 못 봤지만, 페이지의 문구만 봐도 기기 완전 장악 수준의 취약점임을 알 수 있음
공격자가 헤드폰을 통해 스마트폰까지 공격할 수 있다는 점이 특히 인상적임
발표에서는 취약점 개요, 영향, 패치 과정의 어려움, 그리고 펌웨어 수정 도구 공개까지 다룸
공격 단계 요약을 보면,
근거리에서 연결
인증 없이 메모리 덤프
덤프에서 Bluetooth Link Key 추출
추출한 키로 스마트폰에 가짜 헤드셋으로 접속
이후 공격자는 신뢰된 주변기기 권한으로 스마트폰을 제어할 수 있음
출처: HN 댓글
Razer는 언급되지 않았지만, Blackshark V3 Pro 송신기에 Airoha AB1571DN 칩을 사용함
헤드셋 쪽은 불명확하며, 펌웨어 업데이트 내역도 찾기 어려움
부통령 Kamala Harris가 최근 인터뷰에서 “무선 이어폰은 안전하지 않다”고 말한 적이 있음 영상 링크
정치적 의도는 없지만, Harris의 발언을 신뢰하진 않음
블루투스는 원래부터 보안성이 낮은 기술이며, 대부분의 구현이 허술함
참고 영상: YouTube 링크
일반적인 블루투스 보안은 취약함
사용자가 연결의 안전성을 확인하기 어렵고, PIN 기반 인증도 불편함
관련 논문: arXiv 논문
Harris가 말한 건 실제 취약점이 아니라, 이런 위험 가능성을 인식한 정책적 조치로 보임
이 취약점은 이미 6월쯤 공개된 것으로 보이는데, 인터뷰 시점이 그 이전인지 궁금함
데모 중에 사람들이 전화번호로 장난 전화를 걸어 방해한 건 아쉬움
이 발표로 인해 일부 국가 기관은 불편해질 수도 있음
하지만 어떤 국가는 오히려 기뻐할 수도 있음, 누가 이 취약점을 알고 있었느냐에 따라 다름
Hacker News 의견들
이 글이 드디어 주목받게 되어 기쁨임
최근 함부르크의 39C3에서 발표된 내용으로, Airoha SoC를 사용하는 일반적인 블루투스 헤드셋이 인증 없이 리눅스 노트북만으로 완전히 장악될 수 있음 (CVE-2025-20700~20702)
펌웨어 덤프, 사용자 설정, 세션 키, 현재 재생 중인 트랙까지 접근 가능함
영향을 받는 브랜드로는 Sony(WH1000-XM5/XM6, WF-1000XM5), Marshall(Major V, Minor IV), Beyerdynamic(AMIRON 300), Jabra(Elite 8 Active) 등이 있음
대부분의 제조사는 대응이 느렸지만, Jabra는 예외적으로 빠르게 대응했음
흥미로운 점은, 이 취약점에도 불구하고 Airoha의 Bluetooth LE “RACE” 프로토콜이 계속 사용될 가능성이 높다는 것임
덕분에 리눅스 사용자는 헤드셋을 더 세밀하게 제어할 수 있는 기회를 얻게 됨
예를 들어, 음소거 시 “hearthrough” 기능을 자동으로 전환하는 식임
관련 도구: RACE Reverse Engineered - CLI Tool
이런 수준의 원격 오디오 감청은 국가 안보 차원에서도 다뤄야 할 문제라고 생각함
많은 사람들이 영상보다 텍스트를 선호하므로, 관련 자료를 남김
블로그: Bluetooth Headphone Jacking - Full Disclosure
백서: ERNW Publications
대부분의 제조사는 설정 제어를 위해 자체 UUID 서비스를 사용함
Android용으로는 Gadgetbridge 같은 오픈 클라이언트가 있지만, Linux용은 잘 모르겠음
Jabra가 빠르게 대응한 건 놀랍지 않음. 기업 시장 중심이라 보안 민감도가 높기 때문임
Sony는 이제 소비자 중심 브랜드라 대응이 느린 듯함
2020년의 AndroPods와 2024년의 LibrePods임
하지만 Android의 Bluetooth 스택 버그 때문에 루트 권한이 없으면 명령을 실행할 수 없음
관련 이슈: Google Issue Tracker
OpenBSD가 블루투스를 개발하지 않겠다고 했을 때 모두 화냈지만, 지금 보면 그게 현명한 결정이었음
블루투스는 복잡하고 허술한 표준이며, Sony WH1000 같은 고급 기기도 예외가 아님
나도 AirPods Pro와 WH1000-XM5를 쓰지만, 블루투스는 결국 ‘해킹 위에 해킹’이라는 걸 알고 있었음
신호 세기조차 표시되지 않는 등, 내부 상태를 들여다볼 방법이 거의 없음
보안 이메일조차 작동하지 않았다고 함
걱정거리가 하나 줄어듦
Sony WH-1000XM4 최신 펌웨어로 화이트페이퍼의 단계를 재현해봤는데, 명령 응답이 없거나 오류가 반환됨
완전히 확신할 수는 없지만, 패치된 것으로 보임
요약하자면, 여러 제조사의 헤드셋이 Bluetooth Classic과 BLE 모두에서 취약함
인증 없이 작동하는 RACE 프로토콜을 사용하며, 이를 통해 메모리 덤프와 키 탈취가 가능함
공격자는 이 키로 기기를 가짜 헤드셋으로 위장해 스마트폰에 접근할 수 있음
통화 수락, 마이크 도청 등도 가능해 2차 인증 우회까지 이어질 수 있음
완화 방법은 취약 기기를 사용하지 않거나 블루투스를 끄는 것뿐임
차량용 칩셋에도 같은 문제가 있을지 궁금함
결국 3.5mm 잭을 없앤 건 Apple이 시작이었음. 공식 이유는 “방수”였음
이제는 잭이 있는 고급폰을 찾기 어려움
대신 USB-C 헤드폰 생태계가 커졌고, 고품질 DAC 동글도 대안이 되었음
관련 목록: USB-C Headphones
영상은 아직 못 봤지만, 페이지의 문구만 봐도 기기 완전 장악 수준의 취약점임을 알 수 있음
공격자가 헤드폰을 통해 스마트폰까지 공격할 수 있다는 점이 특히 인상적임
발표에서는 취약점 개요, 영향, 패치 과정의 어려움, 그리고 펌웨어 수정 도구 공개까지 다룸
이후 공격자는 신뢰된 주변기기 권한으로 스마트폰을 제어할 수 있음
출처: HN 댓글
Razer는 언급되지 않았지만, Blackshark V3 Pro 송신기에 Airoha AB1571DN 칩을 사용함
헤드셋 쪽은 불명확하며, 펌웨어 업데이트 내역도 찾기 어려움
부통령 Kamala Harris가 최근 인터뷰에서 “무선 이어폰은 안전하지 않다”고 말한 적이 있음
영상 링크
블루투스는 원래부터 보안성이 낮은 기술이며, 대부분의 구현이 허술함
참고 영상: YouTube 링크
사용자가 연결의 안전성을 확인하기 어렵고, PIN 기반 인증도 불편함
관련 논문: arXiv 논문
데모 중에 사람들이 전화번호로 장난 전화를 걸어 방해한 건 아쉬움
이 발표로 인해 일부 국가 기관은 불편해질 수도 있음