Milhões de Fones de Ouvido Sem Fio Vulneráveis: Beats, Bose, JBL e Jabra Permitiram Escuta Clandestina por Anos
Uma falha de segurança em fones de ouvido sem fio de marcas populares como Beats, Bose, JBL e Jabra permitiu que terceiros escutassem conversas e sons através do microfone dos dispositivos. A Apple já lançou um patch, mas a vulnerabilidade afetou milhões de usuários por anos.
MundiX News·23 de junho de 2026·4 min de leitura·👁 1 views
Milhões de Fones de Ouvido Sem Fio Vulneráveis: Beats, Bose, JBL e Jabra Permitiram Escuta Clandestina por Anos
Uma falha de segurança descoberta em fones de ouvido sem fio de marcas renomadas como Beats, Bose, JBL e Jabra permitiu que indivíduos mal-intencionados escutassem conversas e sons captados pelos microfones dos dispositivos conectados. A Apple, em resposta, já liberou uma correção para seus fones Beats Studio Buds, mas a extensão do problema sugere que milhões de usuários podem ter sido expostos a escutas clandestinas por um período considerável.
A vulnerabilidade, identificada como CVE-2025-20701 com um índice CVSS de 8.8 (Alto), reside na forma como o firmware dos chips Bluetooth lida com a autenticação. Em cenários específicos, um atacante dentro do alcance do sinal Bluetooth poderia se passar por um dispositivo já pareado com os fones, interceptando a conexão. Pesquisadores demonstraram diversas formas de explorar essa falha, incluindo a capacidade de ouvir o áudio transmitido pelo microfone do smartphone do usuário. A Apple corrigiu essa brecha com a atualização de firmware Beats Firmware Update 1B211, que é aplicada automaticamente quando os fones estão pareados com um dispositivo Apple e próximos a ele via Bluetooth. É possível verificar a versão do firmware nas configurações de Bluetooth do dispositivo conectado.
Esta falha não é um incidente isolado, mas sim parte de um conjunto de vulnerabilidades descobertas em 2025, que afetavam chips da Airoha Systems, utilizados por diversos fabricantes de fones de ouvido sem fio. Após a divulgação dessas informações, a Airoha lançou um kit de desenvolvimento atualizado para seus parceiros, e os fabricantes começaram a implementar as correções em seus produtos. A Jabra já liberou suas atualizações, enquanto Bose e JBL afirmaram que seus dispositivos já receberam os patches necessários. As implicações dessas vulnerabilidades iam além da simples escuta, podendo, em alguns casos, permitir o acesso ao histórico de chamadas, contatos e até mesmo a iniciação de chamadas, dependendo das funcionalidades do dispositivo específico.
Problemas semelhantes também foram identificados em dispositivos que não utilizam chips da Airoha. Em janeiro, pesquisadores descreveram ataques como o WhisperPair, que exploravam falhas no protocolo Google Fast Pair. Essas vulnerabilidades poderiam permitir o sequestro de dispositivos Bluetooth e, em alguns casos, a localização dos mesmos. Fabricantes como Sony, Nothing, JBL, OnePlus e a própria Google foram citados como afetados. Embora ainda não haja dados públicos sobre a exploração em massa dessas falhas, o cenário de ataque requer que o agressor esteja fisicamente próximo da vítima e dentro do alcance do Bluetooth. Para usuários que podem ser alvos de ataques direcionados, a recomendação é desativar o Bluetooth quando não estiver em uso ativo, minimizando assim a superfície de ataque.
🛡️⚡
Pare de pesquisar. Comece a hackear.
O MundiX é seu copiloto de pentest com IA: comandos exatos, análise de outputs e próximo passo na kill chain — em segundos.
Sem cartão para começar · Planos a partir de R$49/mês
Milhões de Fones de Ouvido Sem Fio Vulneráveis: Beats, Bose, JBL e Jabra Permitiram Escuta Clandestina por Anos
Uma falha de segurança descoberta em fones de ouvido sem fio de marcas renomadas como Beats, Bose, JBL e Jabra permitiu que indivíduos mal-intencionados escutassem conversas e sons captados pelos microfones dos dispositivos conectados. A Apple, em resposta, já liberou uma correção para seus fones Beats Studio Buds, mas a extensão do problema sugere que milhões de usuários podem ter sido expostos a escutas clandestinas por um período considerável.
A vulnerabilidade, identificada como CVE-2025-20701 com um índice CVSS de 8.8 (Alto), reside na forma como o firmware dos chips Bluetooth lida com a autenticação. Em cenários específicos, um atacante dentro do alcance do sinal Bluetooth poderia se passar por um dispositivo já pareado com os fones, interceptando a conexão. Pesquisadores demonstraram diversas formas de explorar essa falha, incluindo a capacidade de ouvir o áudio transmitido pelo microfone do smartphone do usuário. A Apple corrigiu essa brecha com a atualização de firmware Beats Firmware Update 1B211, que é aplicada automaticamente quando os fones estão pareados com um dispositivo Apple e próximos a ele via Bluetooth. É possível verificar a versão do firmware nas configurações de Bluetooth do dispositivo conectado.
Esta falha não é um incidente isolado, mas sim parte de um conjunto de vulnerabilidades descobertas em 2025, que afetavam chips da Airoha Systems, utilizados por diversos fabricantes de fones de ouvido sem fio. Após a divulgação dessas informações, a Airoha lançou um kit de desenvolvimento atualizado para seus parceiros, e os fabricantes começaram a implementar as correções em seus produtos. A Jabra já liberou suas atualizações, enquanto Bose e JBL afirmaram que seus dispositivos já receberam os patches necessários. As implicações dessas vulnerabilidades iam além da simples escuta, podendo, em alguns casos, permitir o acesso ao histórico de chamadas, contatos e até mesmo a iniciação de chamadas, dependendo das funcionalidades do dispositivo específico.
Problemas semelhantes também foram identificados em dispositivos que não utilizam chips da Airoha. Em janeiro, pesquisadores descreveram ataques como o WhisperPair, que exploravam falhas no protocolo Google Fast Pair. Essas vulnerabilidades poderiam permitir o sequestro de dispositivos Bluetooth e, em alguns casos, a localização dos mesmos. Fabricantes como Sony, Nothing, JBL, OnePlus e a própria Google foram citados como afetados. Embora ainda não haja dados públicos sobre a exploração em massa dessas falhas, o cenário de ataque requer que o agressor esteja fisicamente próximo da vítima e dentro do alcance do Bluetooth. Para usuários que podem ser alvos de ataques direcionados, a recomendação é desativar o Bluetooth quando não estiver em uso ativo, minimizando assim a superfície de ataque.
📤 Compartilhar & Baixar
🧰 Ferramentas recomendadas
Divulgação: alguns links são patrocinados. Podemos receber comissão se você comprar — sem custo extra para você. Só indicamos o que faz sentido para a comunidade.
