A Apple atualizou os fones de ouvido sem fio Beats Studio Buds para corrigir uma vulnerabilidade de alta severidade que poderia ser explorada por hackers próximos para ouvir secretamente os usuários.
A vulnerabilidade, registrada como CVE-2025-20701 (nota CVSS, Sistema de Pontuação de Vulnerabilidades Comuns: 8,8), refere-se a um caso de autorização incorreta que afeta o SDK (Kit de Desenvolvimento de Software) de áudio Bluetooth da Airoha, possibilitando o pareamento de um dispositivo de áudio Bluetooth sem o consentimento do usuário.
A exploração bem-sucedida da falha poderia levar a uma escalada remota de privilégios sem exigir privilégios adicionais de execução ou interação do usuário. O problema foi resolvido na atualização de firmware 1B211 dos Beats.
"Um atacante dentro do alcance do Bluetooth pode conseguir ouvir pelo microfone de um dispositivo que ainda não está pareado e que está buscando ativamente pedidos de pareamento", afirmou a Apple em um comunicado divulgado nesta semana.
Os detalhes da vulnerabilidade surgiram pela primeira vez em junho de 2025, quando os pesquisadores da ERNW GmbH, Dennis Heinze e Frieder Steinmetz, sinalizaram a falha junto com outras duas em SoCs (Sistemas em Chip) da Airoha (CVE-2025-20700 e CVE-2025-20702) durante a conferência de segurança TROOPERS, na Alemanha. Correções semelhantes foram divulgadas pela Jabra em dezembro de 2025.
"Na maioria dos casos, essas vulnerabilidades permitem que atacantes assumam o controle total dos fones de ouvido via Bluetooth. Não é necessária autenticação ou pareamento", observaram os pesquisadores na época. "As vulnerabilidades podem ser acionadas via Bluetooth BR/EDR (Taxa Básica/Taxa de Dados Aprimorada) ou Bluetooth Low Energy, conhecido como BLE (Bluetooth de Baixa Energia). Estar dentro do alcance do Bluetooth é a única condição prévia. É possível ler e gravar a memória RAM (Memória de Acesso Aleatório) e a memória flash do dispositivo."
"Essas capacidades também permitem que atacantes sequestrem relações de confiança já estabelecidas com outros dispositivos, como o telefone pareado aos fones de ouvido. Essas capacidades abrem espaço para múltiplos cenários de ataque."
Novo exploit sem correção é descoberto nos chips A12 e A13 da Apple
A divulgação acontece no momento em que a Paradigm Shift revelou uma nova vulnerabilidade no SecureROM (também conhecido como BootROM, a memória ROM de inicialização) do iPhone, que afeta os chips A12 e A13 da Apple, além de um exploit de prova de conceito (PoC) chamado usbliter8.
"O exploit aproveita tanto um bug de hardware no controlador USB quanto uma falha específica de configuração presente no firmware do dispositivo", afirmou a empresa europeia de cibersegurança. "Como essas vulnerabilidades estão em código imutável, os usuários afetados devem estar cientes de que migrar para hardware mais recente continua sendo a mitigação mais eficaz."
Em linhas gerais, o exploit funciona ao explorar uma falha no controlador USB integrado aos SoCs da Apple. O controlador usa um buffer de memória para armazenar pacotes SETUP e OUT (pacotes de configuração e de saída) transmitidos no início da transferência de dados. A pesquisa descobriu que é possível acionar uma primitiva de underflow de buffer (estouro negativo de buffer) aproveitando o fato de que o controlador também aceita pacotes menores, o que permite efetivamente a injeção e execução de código malicioso sob certas condições.
O problema, segundo a Paradigm Shift, provavelmente está enraizado no próprio hardware do controlador USB, e não no software da Apple. O chip A11 não é suscetível à vulnerabilidade, enquanto os chips A12 e A13 já foram confirmados como suscetíveis.
"A diferença é que o driver USB do A11 redefine manualmente o endereço do DMA (Acesso Direto à Memória) ao seu valor inicial após receber cada pacote", explicou a empresa. "No A12 e A13, o USB DART (Tabela de Resolução de Endereços de Dispositivo) é configurado em modo de bypass, o que nos permite sobrescrever dados na SRAM (Memória Estática de Acesso Aleatório) livremente. Por outro lado, o A14 e as gerações posteriores parecem configurar o DART corretamente no SecureROM, tornando a vulnerabilidade inexplorável."
O exploit usbliter8 é comparável ao checkm8, o exploit de BootROM conhecido publicamente desse tipo que afetou todos os dispositivos iOS, do iPhone 4s (chip A5) ao iPhone 8 e iPhone X (chip A11).
"O exploit usbliter8 demonstra que, mesmo em gerações mais recentes do SecureROM, incluindo as protegidas pela Pointer Authentication (Autenticação de Ponteiros), bugs sutis de hardware ainda podem ser aproveitados para obter execução completa de código e quebrar a cadeia de confiança", afirmou a Paradigm Shift.
"A segurança do BootROM é fundamental: vulnerabilidades nesse nível podem comprometer a integridade de todo o dispositivo. Embora o usbliter8 não afete diretamente o SEP (Processador do Enclave Seguro), ele abre vetores de ataque mais amplos para comprometer o Secure Enclave (Enclave Seguro)."
