भारत की साइबर सुरक्षा एजेंसी CERT-In ने ब्लूटूथ आधारित ऑडियो डिवाइसों में गंभीर सुरक्षा खामियों को लेकर उच्च-जोखिम (High-Risk) अलर्ट जारी किया है। यह खामियां Airoha Systems-on-Chip (SoCs) वाले डिवाइसों को प्रभावित कर रही हैं, जिससे साइबर हमलावर कॉल को हाईजैक कर सकते हैं, बातचीत को सुन सकते हैं, कॉल हिस्ट्री और कॉन्टैक्ट्स चुरा सकते हैं, और कुछ मामलों में पूरे डिवाइस का नियंत्रण भी हासिल कर सकते हैं।
किन डिवाइसों और ब्रांड्स पर असर पड़ा है?
जर्मनी की साइबर सुरक्षा फर्म ERNW के शोधकर्ताओं ने Airoha चिपसेट में तीन गंभीर कमजोरियों की पहचान की है। इस जांच में पता चला कि 10 ब्रांडों के 29 ऑडियो डिवाइस, जैसे कि वायरलेस हेडफोन, ईयरबड्स, माइक्रोफोन और स्पीकर, इन खामियों से प्रभावित हैं।
प्रभावित ब्रांडों में शामिल हैं:
Bose, Sony, JBL, Jabra, Marshall, Beyerdynamic, JLab, EarisMax, MoerLabs, और Teufel।
खामियों को निम्नलिखित CVE आइडेंटिफायर दिए गए हैं:
CVE-2025-20700
CVE-2025-20701
CVE-2025-20702
ये खामियां ब्लूटूथ प्रोटोकॉल में सुरक्षा प्रमाणीकरण की कमी और Airoha के मालिकाना कंट्रोल सिस्टम की कमजोरियों से संबंधित हैं।
खतरा कितना बड़ा है?
इन खामियों का फायदा उठाकर कोई भी हैकर ब्लूटूथ ऑडियो डिवाइस का रूप धारण कर सकता है और Hands-Free Profile (HFP) के माध्यम से फोन को कंट्रोल कर सकता है। रियल-टाइम टेस्टिंग में शोधकर्ताओं ने कॉल शुरू कीं, आसपास की बातचीत सुनी, और कॉल लॉग्स व कॉन्टैक्ट्स जैसे निजी डेटा तक पहुंच हासिल की।
सबसे ज्यादा चिंता की बात यह है कि हमलावर कमजोर डिवाइस का फर्मवेयर फिर से लिख सकते हैं, जिससे वे उसमें स्थायी रूप से छिपे रह सकते हैं या ऐसा मालवेयर डाल सकते हैं जो अन्य पास के डिवाइसों तक भी फैल सके।
क्या करें बचाव के लिए?
Airoha ने 4 जून को एक नया SDK अपडेट जारी किया है जिसमें इन खामियों का समाधान दिया गया है। हालांकि, कई प्रभावित डिवाइसों को इससे पहले के संस्करण में आखिरी बार अपडेट मिला था।
CERT-In ने उपयोगकर्ताओं को सलाह दी है कि:
डिवाइस निर्माताओं द्वारा जारी किए गए फर्मवेयर अपडेट तुरंत इंस्टॉल करें।
उच्च जोखिम वाले इलाकों में ब्लूटूथ का उपयोग सीमित करें।