Эксперты из немецкой компании ERNW обнаружили три уязвимости в системе SoC Airoha, которая используется в популярных беспроводных аксессуарах — в частности, в TWS-наушниках. Проблему нельзя назвать критической, ведь ее эксплуатация требует высоких технических навыков хакеров, но все же она позволяет перехватывать на себя управление смартфоном и красть личные данные.
Самое неприятное, что такая уязвимость затронула как минимум 29 популярных устройств от крупнейших брендов, вроде JBL, Marshall, Bose, Sony и Jabra. И речь идет как о наушниках, так и о колонках или микрофонах. Однако воспользоваться эксплойтом можно только в радиусе действия Bluetooth. Вот полный список моделей, за которыми потенциально могут следить злоумышленники:
| Beyerdynamic Amiron 300 | Jlab Epic Air Sport ANC | Marshall WOBURN III | Sony WF-1000XM4 | Sony WH-1000XM6 |
| Bose QuietComfort Earbuds | Marshall ACTON III | MoerLabs EchoBeatz | Sony WF-1000XM5 | Sony WH-CH520 |
| EarisMax Bluetooth Auracast Sender | Marshall MAJOR V | Sony CH-720N | Sony WF-C500 | Sony WH-XB910N |
| Jabra Elite 8 Active | Marshall MINOR IV | Sony Link Buds S | Sony WF-C510-GFP | Sony WI-C100 |
| JBL Endurance Race 2 | Marshall MOTIF II | Sony ULT Wear | Sony WH-1000XM4 | Teufel Tatws2 |
| JBL Live Buds 3 | Marshall STANMORE III | Sony WF-1000XM3 | Sony WH-1000XM5 |
По мнению специалистов ERNW, если злоумышленникам придет в голову использовать сразу три уязвимости, то атака на аудиоустройство может нести серьезный характер. Таким способом хакер может перехватить соединение между смартфоном и беспроводным гаджетом, а после получить контроль над Bluetooth Hands-Free, чтобы развернуть вредоносное ПО уже на самом телефоне.
На данный момент ERNW передала всю информацию об уязвимости как производителям гаджетов, так и авторам системы Airoha. А последние тем временем успели выпустить новый набор инструментов для разработки, которые смягчают последствия возможных атак.
Недавно МВД России предупредило жителей страны о новой схеме мошенников с блокировкой iPhone. Судя по всему, злоумышленники используют облачный сервис iCloud и механизмы защиты устройств, чтобы превратить смартфон в кирпич и шантажировать владельцев. Рассказываем, как именно это работает — и как не повестись на вымогательство.
