Os teus auscultadores Bluetooh acabaram de se tornar num problema para o telemóvel: são a perfeita “backdoor” sem necessidade de emparelhamento, sem popup de confirmação, apenas por alcance até uma dezena de metros.
São, grosso modo, cerca de 70 milhões de chips incluidos nos topos de gama da Sony, Bose, Marshall, JBL… etc. Muitos modelos têm um protocolo de debug activo em dispositivos de produção que nunca deveria estar acessível. Os atacantes podem extrair as tuas chaves Bluetooth, fazer-se passar pelos teus auscultadores e sequestrar o telemóvel.
Três CVEs Bluetooh, zero autenticação necessária
A divulgação técnica completa aconteceu a 27 de Dezembro de 2025 na conferência 39C3 – e o que foi revelado é suficientemente grave para mudares alguns hábitos imediatamente. Não é teoria. Não é paranóia. É uma vulnerabilidade confirmada, testada ao vivo em palco, que afecta dezenas de milhões de dispositivos de marcas premium que confiaste para proteger a tua privacidade enquanto bloqueavam o ruído do mundo. Ironicamente, enquanto bloqueavam o barulho exterior, estavam a criar uma entrada silenciosa para tudo o que tens no telemóvel.
Vamos perceber o que aconteceu, porque é tão grave, e o que podes fazer antes que alguém decida que o teu número de telefone, contactos e acesso às tuas contas vale o esforço de se aproximar 10 metros.
As três vulnerabilidades que ninguém queria descobrir
Três CVEs (Common Vulnerabilities and Exposures, o sistema de catalogação padrão para vulnerabilidades de segurança) foram atribuídos a este desastre:
CVE-2025-20700 – sem autenticação no Bluetooth Low Energy.
Qualquer dispositivo pode conectar-se via BLE sem que o utilizador veja ou autorize absolutamente nada. A conexão é completamente silenciosa e invisível.
CVE-2025-20701 – sem autenticação no Bluetooth Classic.
O mesmo problema, mas na implementação Bluetooth tradicional. Porta aberta, ninguém a vigiar, entra quem quer.
CVE-2025-20702 – protocolo de debug exposto que nunca deveria estar acessível.
Este é o coração do problema e o que transforma uma falha de segurança irritante numa catástrofe de privacidade completa. O culpado técnico é o RACE, protocolo de fábrica da Airoha concebido para testes e actualizações de firmware durante a produção. Expõe acesso de leitura e escrita à RAM e à memória flash através de três canais: USB HID, Bluetooth Classic RFCOMM (canal 21) e serviços BLE GATT.
É uma ferramenta legítima para engenheiros testarem dispositivos antes de saírem da fábrica. O problema monumental é simples: o protocolo nunca foi desactivado antes dos dispositivos serem enviados para os consumidores. Imagina deixar a chave-mestra da casa pendurada do lado de fora da porta porque era conveniente durante a construção e depois simplesmente esquecer-te de a remover antes de te mudares.
Como funciona o ataque (versão para humanos)
A mecânica é simultaneamente elegante e aterradora: um atacante dentro de 10 metros conecta-se via BLE ou Bluetooth Classic aos teus auscultadores. Não há interacção do utilizador. Não há popup. Não há luz a piscar nos auscultadores.
A conexão é completamente silenciosa e não deixa rasto óbvio. Uma vez conectado, o atacante usa comandos RACE para fazer dump (extrair completamente) da memória flash dos auscultadores. Dentro dessa memória está a Bluetooth Link Key – a chave de 128 bits que o teu telemóvel usa para verificar que os teus auscultadores são de confiança e foram previamente emparelhados por ti. É o equivalente digital a um aperto de mão secreto que prova identidade.
Com a Link Key na posse do atacante, ele pode clonar a identidade Bluetooth dos teus auscultadores. Quando o atacante se conecta ao teu telemóvel, este vê “Sony WH-1000XM5” (ou qualquer que seja o modelo) a conectar-se. Reconhece a chave. Confia automaticamente. Não mostra popup de emparelhamento porque “conhece” este dispositivo.
Do ponto de vista do telemóvel, são os teus auscultadores legítimos a conectarem-se como fazem todos os dias. Mas não são os teus auscultadores. É um atacante com acesso total às capacidades Bluetooth do telemóvel.
O que um atacante pode fazer (spoiler: praticamente tudo)
Uma vez que o telemóvel confia na conexão Bluetooth clonada, as portas abrem-se para obter o teu número de telefone usando comandos HFP (Hands-Free Profile). Este perfil Bluetooth, que normalmente permite aos auscultadores atender chamadas, expõe o número.
Aceder a contactos e histórico de chamadas:
Toda a lista de pessoas com quem comunicas está acessível através dos perfis Bluetooth standard que o telemóvel partilha alegremente com dispositivos “confiáveis”.
Activar Siri ou Google Assistant:
Os comandos de voz podem ser enviados remotamente, permitindo ao atacante interagir com o assistente como se fosse o utilizador legítimo. Aceitar chamadas recebidas silenciosamente. Uma chamada entra, o atacante aceita-a sem que vejas ou ouças, e fica a ouvir a conversa.
Fazer chamadas para números premium:
Gerar custos, ou mais sinistramente, fazer chamadas para serviços específicos que o atacante controla.
Activar o microfone do telemóvel e ouvir:
Esta é provavelmente a mais invasiva – transformar o teu telemóvel num dispositivo de escuta activo sem qualquer indicação visual.
Na conferência 39C3, os investigadores demonstraram ao vivo takeover (apropriação) de contas WhatsApp e Amazon usando estas técnicas. Não foi teoria nem simulação, apenas a demonstração real, em palco, com dispositivos de produção comprados em lojas normais. O tipo de situação que faz os técnicos de segurança na audiência ficarem visivelmente desconfortáveis e os advogados das empresas começarem a fazer telefonemas urgentes.
Auscultadores vulneráveis
A lista confirmada de dispositivos vulneráveis é assustadora pelo seu alcance e pelas marcas envolvidas: Sony WH-1000XM4, WH-1000XM5, WH-1000XM6 (os auscultadores over-ear topo de gama que toda a gente recomenda), WF-1000XM5 (os earbuds premium), LinkBuds S. Bose QuietComfort Earbuds (a linha de cancelamento de ruído que compete directamente com a Sony). Marshall Major V, Minor IV, Acton III, Stanmore III (auscultadores e colunas com estética vintage que se tornaram extremamente populares). JBL Live Buds 3, Endurance Race 2 (gama média acessível). Jabra Elite 8 Active (já parcialmente corrigido). Beyerdynamic Amiron 300 (marca alemã de audiófilo). Teufel Tatws2 (marca alemã menos conhecida internacionalmente). JLab Epic Air Sport ANC (gama budget popular).
Esta não é a lista completa! Os chips Airoha estão em centenas de produtos. Alguns fabricantes nem sequer sabem que usam Airoha porque subcontrataram completamente o módulo Bluetooth a terceiros que por sua vez usaram componentes Airoha. É uma cadeia de fornecimento opaca onde a responsabilidade se dilui até desaparecer.
A excepção notável: Apple AirPods NÃO estão vulneráveis. A Apple desenvolve os seus próprios chips e implementações Bluetooth (série W e H), o que neste caso resultou em segurança superior não por design consciente mas simplesmente por não usarem componentes Airoha. Mesmo um relógio parado está certo duas vezes por dia. Resta saber se a Google fez o mesmo com a linha Pixel.
A resposta da indústria
A Airoha lançou uma correcção aos fabricantes a 4 de Junho de 2025, mas seis meses depois da divulgação aos fabricantes, a maioria dos dispositivos ainda corre firmware vulnerável.
A matemática é simples e deprimente: entre Junho e Dezembro, tempo mais que suficiente para distribuir actualizações, a maioria dos 70 milhões de dispositivos afectados continua completamente vulnerável. A Jabra reconheceu os CVEs publicamente e lançou patches. A Marshall corrigiu silenciosamente sem fazer barulho. A Sony não respondeu aos investigadores até ouvir falar da divulgação pública na conferência – nesse momento, subitamente, tornou-se urgente. A Bose manteve-se em silêncio constrangedor. A JBL idem. A típica resposta corporativa: ignorar até ser impossível continuar a ignorar, depois minimizar, depois eventualmente corrigir se a pressão pública for suficiente.
As actualizações de firmware chegam através das aplicações dos fabricantes – Sony Headphones Connect, Bose Music, Marshall Bluetooth, etc. Mas o que é verdade é que a maioria dos utilizadores nunca abre estas aplicações depois da configuração inicial. Os patches existem mas não estão a chegar aos dispositivos porque ninguém força actualizações automáticas e ninguém avisa os utilizadores activamente de que têm uma vulnerabilidade crítica de segurança. É o equivalente digital a enviar a carta de recall para a morada antiga do utilizador e depois lavar as mãos.
O que fazer (agora, não amanhã)
Actualiza o firmware através da aplicação do fabricante! Abre a app correspondente aos teus auscultadores, vai a definições, procura actualizações de firmware e instala tudo o que estiver disponível.
Faz isto mesmo que aches que os teus auscultadores “funcionam bem” – funcionam bem até alguém decidir que não.
Remove emparelhamentos Bluetooth antigos do telemóvel. Vai às definições Bluetooth, apaga todos os dispositivos que já não usas ou não reconheces. Cada entrada antiga é uma potencial superfície de ataque se alguém conseguir clonar essas credenciais.
Desactiva o Bluetooth quando não estiveres a usar. Isto é inconveniente, vai contra 15 anos de hábitos de “ligar e esquecer”, mas reduz drasticamente a janela de oportunidade para ataques. Se o Bluetooth está desligado, não há alcance, não há conexão, não há ataque.
Alvos de alto valor devem considerar seriamente usar auscultadores com fios. Políticos, executivos, jornalistas, activistas, ou qualquer pessoa cujas conversações e dados tenham valor suficiente para justificar esforço de um atacante dedicado – o cabo de 3,5mm nunca foi tão sexy. Zero latência, zero vulnerabilidades Bluetooth, zero preocupações. A tecnologia de 1960 resolve problemas de 2025.
O contexto mais amplo
Esta não é a primeira vulnerabilidade grave em Bluetooth e não será a última. O protocolo Bluetooth tem um historial consistente de problemas de segurança precisamente porque foi concebido para conveniência, não para segurança.
Emparelhar dispositivos devia ser fácil. Reconectar automaticamente devia ser transparente. A experiência do utilizador sempre foi prioritária sobre considerações de segurança – e décadas depois continuamos a pagar o preço.
O que torna este caso particularmente grave é a escala (70 milhões de dispositivos de marcas premium), a invisibilidade (zero indicação para o utilizador de que algo está errado) e a persistência (seis meses depois da correcção estar disponível, a maioria dos dispositivos continua vulnerável).
Não é um ataque teórico que requer equipamento especializado de laboratório. É um ataque prático demonstrado com hardware comercial standard que qualquer pessoa com conhecimentos intermédios de segurança pode replicar.
A lição fundamental continua a ser a mesma: cada camada de conectividade sem fios que adicionamos às nossas vidas é simultaneamente uma conveniência e uma superfície de ataque.
Bluetooth, Wi-Fi, NFC, UWB – todos trazem benefícios reais e todos trazem riscos reais. A questão nunca é se usar ou não usar, mas sim perceber os trade-offs e tomar decisões informadas.
Em suma
70 milhões de auscultadores de marcas premium como Sony, Bose, Marshall e JBL têm uma vulnerabilidade crítica que permite a atacantes dentro de 10 metros extrair chaves Bluetooth, clonar a identidade dos auscultadores, e obter acesso completo ao telemóvel emparelhado sem qualquer interacção ou notificação ao utilizador.
Três CVEs foram atribuídos. A correcção existe há seis meses mas a maioria dos dispositivos continua vulnerável porque as actualizações de firmware dependem de utilizadores abrirem aplicações que raramente abrem.
Se tens auscultadores Sony WH-1000XM (qualquer versão), Bose QuietComfort, Marshall (qualquer modelo recente), JBL, Jabra, ou dezenas de outras marcas que usam chips Airoha: actualiza o firmware hoje, não amanhã.
Remove dispositivos Bluetooth antigos das configurações do telemóvel. Desliga Bluetooth quando não estiveres activamente a usar. E se és um alvo de alto valor, considera genuinamente voltar aos auscultadores com fio – a tecnologia analógica não tem CVEs.
O mais irónico de todo este desastre é que pagaste 300 a 400 euros por auscultadores topo de gama especificamente para ter a melhor tecnologia, o melhor cancelamento de ruído, e a melhor experiência sem fios. E descobres que essa tecnologia premium vinha com um protocolo de debug de fábrica activo que transforma os teus auscultadores numa porta traseira ao telemóvel. Não é um bug. É um feature que ninguém desactivou. E isso, francamente, é imperdoável!
