보안 회사인 Sentinel One은 여기에서 CVE-2025-20701에 대해 자세히 설명합니다.
Heinze와 Steinmetz는 작년에 전체 공격 체인을 통해 공격자가 통화 기록 및 연락처 검색, 심지어 임의의 번호로 전화 걸기 등 다른 악의적인 작업을 수행할 수 있는 능력을 제공했다고 밝혔습니다. 이러한 기능 중 상당수는 페어링되는 특정 장치에 따라 달라집니다. 그 이유는 내장된 기능이 플랫폼마다 다르기 때문입니다.
Airoha 취약점의 영향을 받는 장치는 결코 혼자가 아닙니다. 지난 1월, 연구원들은 공격자가 회사 소유의 독점 프로토콜인 Google Fast pair를 통해 연결된 Bluetooth 장치를 하이재킹할 수 있는 일련의 취약점인 WhisperPair를 공개했습니다. 도청 외에도 공격자는 WhisperPair 결함을 악용하여 장치의 위치를 찾을 수 있습니다. 이 취약점은 Sony, Nothing, JBL, OnePlus 및 Google을 포함한 10개 제조업체의 12개 이상의 장치에 영향을 미칩니다.
이와 같은 Bluetooth 취약점이 실제로 활발하게 악용되고 있다는 보고는 거의 없습니다. 이러한 공격은 복잡성이 높은 경우가 많으므로 공격자는 익스플로잇을 활용하는 동안 대상의 Bluetooth 범위 내에 지속적으로 머물러야 합니다. 그러한 공격의 표적이 될 수 있다고 생각하는 사람들은 필요하지 않을 때마다 장치에서 Bluetooth를 끄고 Bluetooth가 활성화될 때의 위험을 계속 인식해야 합니다.
이 주제에 대해 더 알고 싶다면 아래를 참고하세요