블루투스 헤드폰 해킹: 스마트폰 침투의 새로운 경로

 (media.ccc.de)
15P by GN⁺ 4일전 | ★ favorite | 댓글 1개
  • 블루투스 오디오 칩 취약점을 통해 헤드폰이 완전히 장악될 수 있으며, 그 결과 연결된 스마트폰까지 공격 경로가 확장될 수 있음
  • Sony, Marshall, Jabra 등 주요 브랜드 헤드폰/이어버드가 영향을 받는 것으로 확인됨
  • 제품에 사용된 Airoha Bluetooth 오디오 SoC에서 CVE-2025-20700, CVE-2025-20701, CVE-2025-20702 세 가지 취약점 발견
  • 헤드폰이 신뢰된 블루투스 주변기기라는 점을 악용해, 펌웨어·메모리 접근이 가능한 커스텀 Bluetooth 프로토콜 RACE를 통해 스마트폰 공격 가능성을 입증
  • 블루투스 주변기기 보안이 스마트폰 보안의 새로운 약점이 될 수 있음을 경고

Airoha 칩의 취약점 개요

  • 연구팀은 Airoha가 개발한 인기 Bluetooth 오디오 칩에서 CVE-2025-20700, CVE-2025-20701, CVE-2025-20702 세 가지 취약점을 발견
    • 이 칩들은 여러 제조사의 Bluetooth 헤드폰과 이어버드에 널리 사용됨
  • 취약점은 기기 완전 장악을 허용할 수 있으며, 시연에서는 최신 세대 헤드폰을 이용해 즉각적인 영향을 보여줌
  • 공격자는 페어링된 스마트폰 등 신뢰 관계에 있는 장치를 2차 공격 대상으로 삼을 수 있음

RACE 프로토콜과 펌웨어 접근

  • 연구 과정에서 RACE라는 강력한 커스텀 Bluetooth 프로토콜이 발견됨
    • 이 프로토콜은 헤드폰의 플래시와 RAM에 데이터 읽기·쓰기 기능을 제공
  • 이를 통해 펌웨어를 읽고 수정하거나 커스터마이징할 수 있는 가능성이 열림
    • 이렇게 감염된 블루투스 헤드폰을 통해 페어링된 스마트폰 공격 가능
    • 블루투스 Link Key 탈취 시 주변기기 가장 가능
    • 스마트폰이 주변기기를 신뢰하는 구조 자체가 공격 벡터로 작용
  • 연구진은 이 기능을 활용해 보안 패치 및 연구 확장을 위한 기반을 마련

영향받는 제조사 및 제품

  • 취약점이 영향을 미치는 기기로 Sony (WH1000-XM5, WH1000-XM6, WF-1000XM5) , Marshall (Major V, Minor IV) , Beyerdynamic (AMIRON 300) , Jabra (Elite 8 Active) 등이 언급됨
  • Airoha는 Bluetooth SoC 및 레퍼런스 디자인·SDK 제공 업체
    • 다수의 유명 오디오 브랜드가 Airoha SoC와 SDK를 기반으로 제품을 제작
    • 특히 TWS(True Wireless Stereo) 시장에서 높은 점유율 보유

사용자 인식과 보안 업데이트 문제

  • 연구진은 일부 제조사가 사용자에게 취약점과 보안 업데이트 정보를 충분히 제공하지 않았다고 지적
  • 발표의 목표는 사용자에게 문제를 알리고, 연구자들이 Airoha 기반 기기 보안 연구를 이어갈 수 있도록 기술 세부 정보를 공개하는 것
  • 발표와 함께 기기 영향 여부를 확인할 수 있는 도구연구자용 분석 툴이 공개됨

블루투스 주변기기 보안의 일반적 함의

  • 스마트폰 보안이 강화됨에 따라, 공격자는 주변기기(헤드폰, 이어버드 등) 로 공격 초점을 옮길 수 있음
  • Bluetooth Link Key가 탈취될 경우, 공격자는 주변기기를 가짜로 가장해 스마트폰 기능에 접근할 수 있음
  • 이러한 이유로 블루투스 주변기기의 보안 강화와 취약점 관리가 중요함
GN⁺ 4일전  [-]
Hacker News 의견들

  • 이 글이 드디어 주목받게 되어 기쁨임
    최근 함부르크의 39C3에서 발표된 내용으로, Airoha SoC를 사용하는 일반적인 블루투스 헤드셋이 인증 없이 리눅스 노트북만으로 완전히 장악될 수 있음 (CVE-2025-20700~20702)
    펌웨어 덤프, 사용자 설정, 세션 키, 현재 재생 중인 트랙까지 접근 가능함
    영향을 받는 브랜드로는 Sony(WH1000-XM5/XM6, WF-1000XM5), Marshall(Major V, Minor IV), Beyerdynamic(AMIRON 300), Jabra(Elite 8 Active) 등이 있음
    대부분의 제조사는 대응이 느렸지만, Jabra는 예외적으로 빠르게 대응했음
    흥미로운 점은, 이 취약점에도 불구하고 Airoha의 Bluetooth LE “RACE” 프로토콜이 계속 사용될 가능성이 높다는 것임
    덕분에 리눅스 사용자는 헤드셋을 더 세밀하게 제어할 수 있는 기회를 얻게 됨
    예를 들어, 음소거 시 “hearthrough” 기능을 자동으로 전환하는 식임
    관련 도구: RACE Reverse Engineered - CLI Tool
    이런 수준의 원격 오디오 감청은 국가 안보 차원에서도 다뤄야 할 문제라고 생각함

    • 연구진 중 한 명임
      많은 사람들이 영상보다 텍스트를 선호하므로, 관련 자료를 남김
      블로그: Bluetooth Headphone Jacking - Full Disclosure
      백서: ERNW Publications
    • Sony가 공식 공지를 내진 않았지만, 앱 사용자들은 조용히 배포된 펌웨어 업데이트 알림을 받았을 것 같음
      대부분의 제조사는 설정 제어를 위해 자체 UUID 서비스를 사용함
      Android용으로는 Gadgetbridge 같은 오픈 클라이언트가 있지만, Linux용은 잘 모르겠음
    • 나도 기술 영상은 잘 안 보는 편이라, YouTube 링크엔 거의 투표하지 않음
    • 오디오를 재생할 수도 있다면 장난꾸러기들의 꿈일 듯함
      Jabra가 빠르게 대응한 건 놀랍지 않음. 기업 시장 중심이라 보안 민감도가 높기 때문임
      Sony는 이제 소비자 중심 브랜드라 대응이 느린 듯함
    • AirPods의 통신 프로토콜을 역공학한 앱이 이미 있음
      2020년의 AndroPods와 2024년의 LibrePods
      하지만 Android의 Bluetooth 스택 버그 때문에 루트 권한이 없으면 명령을 실행할 수 없음
      관련 이슈: Google Issue Tracker

  • OpenBSD가 블루투스를 개발하지 않겠다고 했을 때 모두 화냈지만, 지금 보면 그게 현명한 결정이었음
    블루투스는 복잡하고 허술한 표준이며, Sony WH1000 같은 고급 기기도 예외가 아님
    나도 AirPods Pro와 WH1000-XM5를 쓰지만, 블루투스는 결국 ‘해킹 위에 해킹’이라는 걸 알고 있었음
    신호 세기조차 표시되지 않는 등, 내부 상태를 들여다볼 방법이 거의 없음

    • 이건 블루투스 자체 문제가 아니라, Airoha 칩셋이 인증 없이 SoC 메모리를 읽을 수 있는 디버그 인터페이스를 그대로 출하한 탓임
      보안 이메일조차 작동하지 않았다고 함
    • 차라리 Wi-Fi로 오디오 전송하는 게 낫지 않을까 생각함
      걱정거리가 하나 줄어듦
    • 케이블 연결은 때로는 사소한 불편이지만, 외부 모니터나 키보드를 쓸 때는 꽤 번거로움
    • “모두가 OpenBSD를 떠났다”는 표현은 과장임. 나처럼 여전히 쓰는 사람도 있음
    • 그럼 USB도 막아야 하지 않겠냐는 농담이 나올 정도로, 공격 벡터는 어디에나 있음

  • Sony WH-1000XM4 최신 펌웨어로 화이트페이퍼의 단계를 재현해봤는데, 명령 응답이 없거나 오류가 반환됨
    완전히 확신할 수는 없지만, 패치된 것으로 보임

  • 요약하자면, 여러 제조사의 헤드셋이 Bluetooth Classic과 BLE 모두에서 취약
    인증 없이 작동하는 RACE 프로토콜을 사용하며, 이를 통해 메모리 덤프와 키 탈취가 가능함
    공격자는 이 키로 기기를 가짜 헤드셋으로 위장해 스마트폰에 접근할 수 있음
    통화 수락, 마이크 도청 등도 가능해 2차 인증 우회까지 이어질 수 있음
    완화 방법은 취약 기기를 사용하지 않거나 블루투스를 끄는 것뿐임
    차량용 칩셋에도 같은 문제가 있을지 궁금함

  • 결국 3.5mm 잭을 없앤 건 Apple이 시작이었음. 공식 이유는 “방수”였음

    • Apple이 “용기(courage) ”라는 이유를 댔을 때 다들 비웃었지만, 결국 다른 제조사도 따라 했음
      이제는 잭이 있는 고급폰을 찾기 어려움
    • 사실 방수폰 중에도 잭이 있는 경우가 많음
    • Apple은 공간 절약과 장기 전략을 이유로 들었음
      대신 USB-C 헤드폰 생태계가 커졌고, 고품질 DAC 동글도 대안이 되었음
      관련 목록: USB-C Headphones
    • 요즘은 유선 이어폰을 쓰는 사람을 거의 못 봄. 마치 CD만 고집하는 사람처럼 느껴짐

  • 영상은 아직 못 봤지만, 페이지의 문구만 봐도 기기 완전 장악 수준의 취약점임을 알 수 있음
    공격자가 헤드폰을 통해 스마트폰까지 공격할 수 있다는 점이 특히 인상적임
    발표에서는 취약점 개요, 영향, 패치 과정의 어려움, 그리고 펌웨어 수정 도구 공개까지 다룸

    • 공격 단계 요약을 보면,
      1. 근거리에서 연결
      2. 인증 없이 메모리 덤프
      3. 덤프에서 Bluetooth Link Key 추출
      4. 추출한 키로 스마트폰에 가짜 헤드셋으로 접속
        이후 공격자는 신뢰된 주변기기 권한으로 스마트폰을 제어할 수 있음
        출처: HN 댓글

  • Razer는 언급되지 않았지만, Blackshark V3 Pro 송신기에 Airoha AB1571DN 칩을 사용함
    헤드셋 쪽은 불명확하며, 펌웨어 업데이트 내역도 찾기 어려움

  • 부통령 Kamala Harris가 최근 인터뷰에서 “무선 이어폰은 안전하지 않다”고 말한 적이 있음
    영상 링크

    • 정치적 의도는 없지만, Harris의 발언을 신뢰하진 않음
      블루투스는 원래부터 보안성이 낮은 기술이며, 대부분의 구현이 허술함
      참고 영상: YouTube 링크
    • 일반적인 블루투스 보안은 취약함
      사용자가 연결의 안전성을 확인하기 어렵고, PIN 기반 인증도 불편함
      관련 논문: arXiv 논문
    • Harris가 말한 건 실제 취약점이 아니라, 이런 위험 가능성을 인식한 정책적 조치로 보임
    • 이 취약점은 이미 6월쯤 공개된 것으로 보이는데, 인터뷰 시점이 그 이전인지 궁금함

  • 데모 중에 사람들이 전화번호로 장난 전화를 걸어 방해한 건 아쉬움

  • 이 발표로 인해 일부 국가 기관은 불편해질 수도 있음

    • 하지만 어떤 국가는 오히려 기뻐할 수도 있음, 누가 이 취약점을 알고 있었느냐에 따라 다름
답변달기