애플은 블루투스 안의 범위에 있는 공격자가 사용자의 대화를 엿들을 수 있게 하는 Beats Studio Buds 무선 이어버드에 영향을 미치는 고위험 결함을 수정하기 위한 보안 업데이트를 출시했습니다.
애플은 화요일 발표된 권고문에서, 블루투스 안의 범위에 있는 공격자가 아직 페어링되지 않았고 페어링 요청을 적극적으로 수신 중인 기기의 마이크를 통해 대화를 엿들을 수 있다고 설명했습니다.
이는 오픈 소스 코드의 취약점이며, 애플 소프트웨어도 영향을 받는 프로젝트 중 하나입니다. CVE-ID는 제3자에 의해 할당되었습니다.
애플은 Beats Firmware Update 1B211 을 통해 이 취약점을 수정
해당 업데이트는 취약한 헤드폰이 페어링된 상태에서 사용자의 아이폰, 아이패드 또는 맥의 블루투스 범위 내에 있을 때 자동으로 배포
기기의 블루투스 설정에서 헤드폰 옆의 정보 버튼을 탭 하여 펌웨어가 적용되었는지 확인할 수 있습니다.
해당 보안 결함(CVE-2025-20701)은 ERNW GmbH의 데니스 하인제(Dennis Heinze)와 프리더 슈타인메츠(Frieder Steinmetz)가 Airoha 시스템 온 칩 (SoC)
1년 전 독일에서 열린 TROOPERS 보안 콘퍼런스에서 취약점을 공개했을 당시 ERNW 보안 연구원들은 해당 문제가 블루투스 BR/EDR 무선 통신에서 인증 절차가 빠진 데서 비롯되었다고 밝혔습니다.
또한, 이들은 공격자가 전화를 걸고 표적기기의 청취 범위 내 대화를 도청할 수 있게 해주는 개념 증명(PoC) 익스플로잇을 개발
CVE-2025-20701을 같은 취약한 구성 요소에 영향을 미치는 다른 두 가지 취약점(CVE-2025-20700 및 CVE-2025-20702로 추적됨)과 연쇄적으로 악용할 때 공격자는 휴대폰과 페어링된 블루투스 오디오 장치 간의 연결을 탈취하고 블루투스 핸즈프리 프로파일(HFP)을 이용해 휴대폰에 명령을 내릴 수도 있습니다.
대부분은 이러한 취약점을 통해 공격자는 블루투스를 통해 헤드폰을 완전히 장악할 수 있음
연구진은 인증이나 페어링이 필요하지 않다고 경고
해당 취약점은 블루투스 BR/EDR 또는 블루투스 저에너지(BLE)를 통해 유발될 수 있으며 블루투스 통신 안의 범위에 있는 것만이 유일한 전제 조건
장치의 RAM 및 플래시 메모리를 읽고 쓸 수 있습니다.
연구진은 또한 취약한 기기의 메모리에서 블루투스 링크 키를 추출하고 통화 내역과 연락처를 조회할 수 있었을 뿐만 아니라 임의의 번호로 전화를 걸 수도 있었다.
사용 가능한 명령의 범위는 모바일 운영 체제에 따라 다르지만 모든 주요 플랫폼은 최소한 통화 시작 및 수신 기능을 지원한다고 연구진은 밝혔으나 실제 공격을 수행하는 것은 복잡하며 기술적 숙련도와 물리적 근접성이 필요하기 때문에 고가치 표적만을 대상으로 할 가능성이 크다고 덧붙임
영향을 받는 블루투스 이어폰
Beyerdynamic Amiron 300
Bose QuietComfort Earbuds
EarisMax Bluetooth Auracast Sender
Jabra Elite 8 Active
JBL Endurance Race 2
JBL Live Buds 3
Jlab Epic Air Sport ANC
Marshall ACTON III
Marshall MAJOR V
Marshall MINOR IV
Marshall MOTIF II
Marshall STANMORE III
Marshall WOBURN III
MoerLabs EchoBeatz
Sony CH-720N
Sony Link Buds S
Sony ULT Wear
Sony WF-1000XM3
Sony WF-1000XM4
Sony WF-1000XM5
Sony WF-C500
Sony WF-C510-GFP
Sony WH-1000XM4
Sony WH-1000XM5
Sony WH-1000XM6
Sony WH-CH520
Sony WH-XB910N
Sony WI-C100
Teufel Tatws2
BR/EDR 인증 누락 부분 분석
1.Bluetooth Classic 주소 확보
BR/EDR 검사를 하려면 대상의 기존 블루투스 주소가 필요
코드는 먼저 사용자가 --target-address로 주소를 넘겼는지 확인
만약 주소가 없고 BLE RACE 연결이 가능했다면 GetEDRAddress() 명령을 사용해 Classic 주소를 가져오려고 시도
해당 부분은 중요
BLE 쪽 접근이 가능하면 해당 경로를 이용해 기존 블루투스 주소 를 얻고 이후 BR/EDR 검사로 넘어갈 수 있기 때문이며 즉 BLE와 Classic Bluetooth 공격 표면이 서로 연결된 부분이 됩니다.
만약 주소를 자동으로 획득하지 않으며 코드가 사용자에게 직접 Bluetooth 주소 입력을 요구
2.RFCOMM 검사 객체 생성
기존 블루투스 주소가 확보되면 RFCOMMBumbleChecker 객체를 생성
여기서 세 번째 인자로 False가 전달
코드 문맥상 이는 인증 또는 페어링을 강제하지 않는 연결 시도를 의미하는 것으로 해석할 수 있게 됨
대상 장치가 페어링되지 않은 상태에서도 Bluetooth Classic 연결을 받아 주겠는가 하는 부분
이후 코드는 RACE SSP RFCOMM UUID를 찾으려고 시도
BR/EDR 위에서 RACE 인터페이스가 RFCOMM 서비스로 노출되어 있는지 확인하는 과정
3. 실제 인증 누락 판단
BR/EDR 인증 누락의 핵심 판단은 다음 코드에서 이루어진다.
페어링 없이 HFP 연결 성공:CVE-2025-20701 = VULNERABLE
페어링 없이 HFP 연결 실패:CVE-2025-20701 = FIXED
해당 도구는 HFP 연결을 이용해 Bluetooth Classic 인증 정책이 제대로 적용되는지 확인
HFP는 Hands-Free Profile의 약자 헤드셋이나 이어폰, 차량 통화 기능 등에서 사용되는 블루투스 주소 프로파일이다.
일반적으로 이런 프로파일은 신뢰된 페어링 관계를 전제로 동작해야 하지만 그런데 페어링 없이 연결할 수 있다면 장치가 BR/EDR 인증을 제대로 강제하지 않는다는 의미가 됨
4.HFP 연결을 사용
코드상 BR/EDR 인증 누락은 단순 RFCOMM 연결만으로 판단하지 않고 HFP 연결을 통해 확인
Checking Bluetooth Classic Pairing Issue by initiating an HfP connection.
HFP는 실제 사용자 기능과 연결됨->헤드셋/이어폰에서 통화 기능과 관련
인증이 필요한 프로파일이어야 함->정상이라면 페어링되지 않은 기기의 접근을 막아야 함
성공 여부가 명확->연결 성공/실패로 취약 여부 판단 가능
BR/EDR 인증 정책 확인에 적합->Bluetooth 보안 설정 검증 가능
실제 기존 블루투스 프로파일이 페어링 없이 열리는지를 확인
5.RACE over BR/EDR와의 관계
CVE-2025-20701과 CVE-2025-20702_BR_EDR가 서로 연결되어 있다는 점
CVE-2025-20701은 BR/EDR 인증 누락이고 CVE-2025-20702_BR_EDR는 Bluetooth Classic 경유 RACE 프로토콜 접근방식
코드는 HFP 인증 검사를 한 뒤 RACE RFCOMM UUID가 발견되면 실제 RACE 인터페이스에 접속
그리고 RACE 세션을 만들고 Flash 읽기를 시도
BR/EDR 인증이 누락되어 있으면 단순 연결 문제가 아니라 RACE 인터페이스까지 접근 가능한 경우 Flash 메모리 읽기게 됨
6.예외 처리:HFP는 막혔지만, RACE는 열려 있는 경우
HFP는 페어링 없이 연결 불가:일반 프로파일 인증은 정상처럼 보임
하지만, RACE RFCOMM은 접근 가능:관리/디버그 인터페이스만 인증 없이 노출
결과
실제로 Flash dump가 성공하면 코드는 CVE-2025-20701 상태도 취약한 상태로 변경
단순히 HFP 연결 여부만으로 끝내지 않으며 HFP가 막혀 있더라도 RACE over RFCOMM이 열려 있고 Flash dump가 성공하면 BR/EDR 인증 정책이 우회 가능하다고 보게 됨
Bluetooth Classic 경로에서 페어링 없이 민감 기능에 접근할 수 있다면 BR/EDR 인증 누락으로 간주 하게 되는 것임
요약
페어링 없는 Classic 연결:신뢰되지 않은 장치가 연결 가능
RACE RFCOMM 접근:내부 관리/디버그 프로토콜 접근 가능
Flash 덤프:펌웨어 코드 및 설정 정보 유출 가능
RAM 덤프:런타임 정보,사용자 데이터,키 자료 유출 가능
Link Key 추출 가능성:페어링 키 노출 가능성
FOTA 접근 가능성:펌웨어 업데이트 경로 조작 가능성
주 타겟
언론인, 외교관, 정치적 반체제 인사
민감한 산업에 종사하는 사람들(예를 들어서 방산, 군인 등등)
VIP 감시 대상
이런 범주에 속하는 사람들은 일반적으로 블루투스 이어폰, 블루투스 헤드폰 사용을 자제하는 것이 좋으며 만약 자신이 위험에 처해 있다고 생각하고 패치가 나올 때까지 헤드폰을 다시 사용하기로 했다면 헤드폰과 휴대폰 간의 페어링도 반드시 해제
아니면 블루투스 자체를 사용을 안 하는 것이 정말 속 편함
즉 CVE-2025-20701은 단독으로도 위험하지만 CVE-2025-20702_BR_EDR와 결합하면 영향도가 훨씬 커지게 됨
결론은 뭐다~그냥 펌웨어가 있으며 펌웨어 업데이트를 통해서 안전하게 사용을 하는 것이 중요
'소프트웨어 팁 > 보안 및 분석' 카테고리의 다른 글
| 김수키(Kimsuky) 개인정보 유출 의심 확인 요청 으로 유포 되는 악성코드-2603vvip고객현황.lnk (0) | 2026.06.22 |
|---|---|
| Firefox 내장 VPN 업데이트 무제한 서비스 전환 및 28개국 추가 확대 (0) | 2026.06.19 |
| Kimsuky(김수키)에서 만든 악성코드-260506_한국 핵추진잠수함 협력 전략과 로드맵.pdf.lnk (0) | 2026.06.18 |
| 윈도우 권한 상승 취약점 GreenPlasma Poc 분석 (0) | 2026.06.17 |
| 윈도우 10 KB5094127,윈도우 11 KB5094126&KB5093998 보안 업데이트 (0) | 2026.06.12 |
| USB 하나로 BitLocker(비트로커) 우회-YellowKey BitLocker 우회 취약점 (0) | 2026.06.11 |
| 국세청 사칭 김수키(Kimsuky) 에서 만든 악성코드-비밀번호.txt (0) | 2026.06.10 |
| 통일부 내부 관계자 를 노린것으로 추정 되는 김수키(Kimsuky) 악성코드-(대외보안)통일부_중동상황관련_정책간담회_기획안.pdf (0) | 2026.06.08 |
