Une faille Bluetooth permet d’écouter à travers un casque attaqué et d’extraire des données personnelles

De nombreux fabricants de casques Bluetooth ne développent pas leurs propres composants et se basent sur du matériel — et parfois du logiciel — fourni par une société tierce. Des failles dans ceux qui utilisent l’implémentation d’Airoha ont été montrées récemment par les chercheurs d’ERNW, et elle implique de gros risques : il est possible d’activer le microphone à distance ou de récupérer des informations personnelles, comme le contenu du carnet d’adresses d’un smartphone.

Certaines enceintes portables sont touchées. Image Marshall.

Elles se basent sur l’absence d’authentification dans un protocole de la marque, pour les marques qui emploient le SDK (le kit de développement) d’Airoha. De nombreux appareils sont vulnérables, et il n’y a qu’une condition selon les chercheurs : être à portée d’un périphérique Bluetooth (casque ou enceinte portable). Les modèles touchés, selon eux, proviennent de nombreux fabricants : Sony (CH-720N, Link Buds S, ULT Wear, WF-1000XM3, XM4, XM5, WF-C500, C…