Найти в Дзене
Secure Defence - Ваша кибербезопасность
11 подписчиков

Уязвимости в наушниках Xiaomi: угроза для бизнеса и личной безопасности в России 2026

10 мин
На прошлой неделе мы расследовали инцидент в одном региональном банке — утечку телефонных номеров топ-менеджеров. Обшарили всё: почту, мессенджеры, DLP, даже проверили на коммерческий шпионаж. Виновника нашли спустя три дня. И знаете, что это было? Обычные беспроводные наушники Redmi Buds 4 Pro у нового вице-президента. Да, те самые, что лежат у половины сотрудников в кармане. Честно говоря, я тогда впервые задумался, насколько наша привычная бытовая электроника стала идеальным троянским конём прямо в сердце корпоративной безопасности. И это не страшилка, а реальные уязвимости CVE-2025-13834 и CVE-2025-13328, которые превращают популярные гаджеты в устройство для утечки данных и тихого саботажа. Если отбросить сложные термины, то представьте, что ваши наушники — это не просто динамик и микрофон. Это мини-компьютер со своей прошивкой, памятью и служебными каналами для связи. По идее, для работы им нужен только Bluetooth-профиль для передачи музыки и звонков. Но что любопытно — инженер
Оглавление
Достаточно находиться в радиусе действия Bluetooth
Достаточно находиться в радиусе действия Bluetooth

Ваши наушники Xiaomi сливают номера телефонов?

На прошлой неделе мы расследовали инцидент в одном региональном банке — утечку телефонных номеров топ-менеджеров. Обшарили всё: почту, мессенджеры, DLP, даже проверили на коммерческий шпионаж. Виновника нашли спустя три дня.

И знаете, что это было? Обычные беспроводные наушники Redmi Buds 4 Pro у нового вице-президента. Да, те самые, что лежат у половины сотрудников в кармане. Честно говоря, я тогда впервые задумался, насколько наша привычная бытовая электроника стала идеальным троянским конём прямо в сердце корпоративной безопасности.

И это не страшилка, а реальные уязвимости CVE-2025-13834 и CVE-2025-13328, которые превращают популярные гаджеты в устройство для утечки данных и тихого саботажа.

Как обычный RFCOMM-канал превратился в дыру в корпоративном заборе?

Если отбросить сложные термины, то представьте, что ваши наушники — это не просто динамик и микрофон. Это мини-компьютер со своей прошивкой, памятью и служебными каналами для связи. По идее, для работы им нужен только Bluetooth-профиль для передачи музыки и звонков. Но что любопытно — инженеры Xiaomi, как и многие другие, оставили внутри целый набор дополнительных «дверей», протоколов L2CAP и RFCOMM. Скорее всего, для отладки или совместимости со старыми устройствами. На практике же эти двери часто забывают не просто закрыть, а заколотить досками.

Вот здесь и начинается самое интересное.

Уязвимость CVE-2025-13834, которую нашли ребята из Карнеги — Меллона, связана с командой TEST в одном из этих RFCOMM-каналов. Если послать на наушники специально сформированный пакет, устройство в ответ… выплёвывает кусок своей оперативной памяти, до 127 байт. И знаете, что в ней обычно лежит в момент звонка? Правильно, телефонные номера. Ваши и ваших собеседников.

Это выглядит примерно так.

Сотрудник вашего финансового департамента в коворкинге обсуждает по телефону детали крупной сделки. Рядом, в радиусе 20 метров (а это почти весь этаж обычного офиса), сидит «злоумышленник» с ноутбуком и дешёвым Bluetooth-адаптером за 1500 рублей. Он сканирует эфир, находит MAC-адрес ваших наушников (это делается стандартными утилитами) и отправляет этот самый злосчастный TEST-запрос. Ни пинов, ни подтверждений, ничего. Наушники молча отдают фрагмент памяти. Всё. Номера, а иногда и фрагменты аудио, ушли.

И ведь никто не заметит — звонок идёт, музыка играет.

Вторая дыра, CVE-2025-13328, ещё «веселее».

Она позволяет просто «положить» устройство. Посылается лавина служебных команд в тот же RFCOMM или канал Hands-Free, очередь обработки в прошивке захлёбывается, и наушники уходят в ступор. Единственный способ оживить их — положить в кейс для зарядки. Представьте: у вашего CEO во время важной международной конференции через Zoom внезапно глохнут наушники. Паника, потеря времени, репутационные издержки. А причина — не «глюк железа», а целенаправленная атака отказом в обслуживании.

И самое печальное, что на январь 2026 года патчей от Xiaomi для моделей от Redmi Buds 3 Pro до 6 Pro нет. И неизвестно, будут ли. Устройства живут своей жизнью, а риски — своей.

Личный опыт: почему политика BYOD в 2026 году — это игра в русскую рулетку с одним патроном

Мы в нашем SOC всегда настороженно относились к личным устройствам в корпоративной сети. Но после того банковского инцидента я стал смотреть на это иначе. Раньше думали про смартфоны и ноутбуки. Теперь в чёрном списке оказались и наушники, и умные часы, и даже беспроводные мыши.

У нас был кейс с одним ИТ-интегратором, работающим с госкомпаниями. Они внедряли у себя политику строгого BYOD (Bring Your Own Device), но сфокусировались только на мобильных ОС. Прошивки периферии даже не рассматривались. В итоге, через уязвимые TWS-наушники одного из архитекторов, который любил работать из кафе, утекли данные по тендерной документации на проект КИИ. Злоумышленникам даже не пришлось взламывать VPN или DLP. Они атаковали самое слабое звено — бытовой гаджет, про который все забыли.

По-моему, это классическая ошибка.

Мы строим крепостную стену из дорогих файрволов и систем обнаружения вторжений, но оставляем калитку для кота — неконтролируемый IoT. В условиях 152-ФЗ и всё ужесточающихся требований ФСТЭК к защите персональных данных и критической информационной инфраструктуры, такая «калитка» может стоить компании не только штрафов, но и лицензий.

10 правил безопасности 2026 года: как обезвредить тикающую бомбу в ушах ваших сотрудников

  1. Признайте угрозу. Первый шаг — включите всю беспроводную периферию (не только наушники Xiaomi, а любые TWS, мыши, клавиатуры) в модель угроз вашей компании. Без этого любые дальнейшие действия бессмысленны.
  2. Сегментируйте эфир. Выделите в офисе зоны, где работа с конфиденциальной информацией невозможна в принципе. Открытые пространства, переговорные — туда можно заходить только с «глупыми» устройствами или без них.
  3. Жёсткий реестр устройств. Внедрите обязательную регистрацию ВСЕХ Bluetooth-устройств, которые подключаются к корпоративным гаджетам. Не зарегистрирован — точка доступа его не пускает. Решения для NAC (Control Network Access) сейчас умеют это делать.
  4. Апгрейд железа. Закупайте Bluetooth-адаптеры для рабочих ноутбуков с возможностью программной фильтрации каналов. Чтобы можно было на уровне драйвера заблокировать всё, кроме A2DP/AVRCP для звука. Лишние протоколы L2CAP и RFCOMM — долой.
  5. Мониторьте не только IP. Ваш SOC должен уметь анализировать не только сетевой трафик, но и радиоэфир. Простые сканеры вроде Ubertooth или более серьёзные RF-мониторы могут выявлять аномальную активность в Bluetooth-диапазоне, те самые лавины TEST-команд.
  6. Обновите IRP (Incident Response Plan). В сценарии реагирования на инциденты добавьте пункт: «При подозрении на утечку через периферийные устройства — физическая изоляция устройства и проверка радиоэфира».
  7. Проводите аудит прошивок. Да, это сложно. Но можно требовать у поставщиков или производителей декларации соответствия прошивок актуальным спецификациям Bluetooth SIG. Хотя бы на бумаге. Это создаёт юридические риски для них.
  8. Обучение с примерами. Не говорите сотрудникам абстрактное «будьте бдительны». Покажите им эту статью. Расскажите, что если наушники внезапно отключаются в людном месте — это может быть не глюк, а атака. Пусть сразу сообщают в службу инфобезопасности.
  9. Рассмотрите корпоративный стандарт. Если уж без беспроводных наушников не обойтись (для колл-центров, например), то закупайте партию сертифицированных, проверенных моделей с возможностью централизованного управления и отключения ненужных служб.
  10. Готовьтесь к 187-ФЗ. Скоро требования к безопасности цепочек поставок и IoT-устройств в КИИ ужесточатся. Те, кто уже сейчас имеет практику аудита вендорских прошивок, окажутся в выигрышном положении.

Если вы CISO банка или работаете в ОКИИ, и у вас прямо сейчас мороз по коже от осознания, сколько таких устройств уже в сети, — действуйте.

══════

Нужна помощь?
Оставьте заявку на Бесплатную консультацию на сайте: https://securedefence.ru/
Пришлём чек-лист аудита Bluetooth-инфраструктуры + дорожную карту внедрения защиты + КП.
Первые 5 заказов каждый месяц — расширенный аудит на 12 страниц в подарок!

══════

Техническая защита: это не ракетостроение, но требует системного подхода

Многие спрашивают: «А что я могу сделать прямо сейчас, технически?» Если отбросить организационные меры, которые важнее, то вот вам три кита.

Во-первых, мониторинг.

Поставьте на ключевых объектах, где идёт работа с данными, пассивный Bluetooth-сканер. Это недорого. Он будет логировать все устройства вокруг, их MAC-адреса, профили. И если в логах вдруг появится подозрительная активность к одному устройству — тысячи запросов в секунду, — это красный флаг. Ваш SOC должен на это уметь реагировать.

Во-вторых, фильтрация на хосте.

Это для ноутбуков сотрудников. Можно настроить политики через MDM (Mobile Device Management) или вручную, чтобы в системе отключались все виртуальные COM-порты (это и есть RFCOMM), создаваемые Bluetooth-стеками. Сломается ли при этом звук? Нет. Основные профили для аудио работают отдельно.

В-третьих, физическое отключение.

Самое простое и действенное. Внедрите в корпоративную культуру правило: при обсуждении sensitive-информации все беспроводные устройства, не относящиеся к процессу, выключаются. Или в помещение не вносятся. Это как проверять, нет ли жучков — привычка.

Честно говоря, на практике внедрить это сложно. Людям лень. Я сам поначалу забывал. Пока не увидел вживую, на что способна эта «невинная» уязвимость в наушниках. После того банковского расследования я купил себе простые проводные наушники для работы. Знаю, что старомодно. Зато тихо и спокойно на душе.

Стандарты и фреймворки: не для галочки, а для реальной работы

Часто на консультациях мне говорят: «У нас же есть ISO 27001, мы защищены!» Смотрю раздел A.11 — Physical and Environmental Security. Там про защиту от кражи оборудования, про контроль доступа в серверную. А про то, что угроза может прилететь по Bluetooth в ухо сотрудника, — ни слова. Так вот, стандарты нужно уметь интерпретировать.

  • NIST SP 800-193 (Platform Firmware Resiliency). Смотрите не на серверы, а на прошивки всех конечных точек. Наушники — это тоже конечная точка, хоть и малая.
  • OWASP IoT Top 10. Внимательно изучите пункты про небезопасные сетевые службы (это как раз про наши RFCOMM-каналы) и недостаточную защиту приватности. Это прямая дорожка к нашим CVE.
  • Bluetooth Core Specification v5.3+. Там чётко сказано: неиспользуемые профили и каналы должны быть отключены по умолчанию. Ваша задача — требовать этого от вендоров и проверять. Это основа для претензий.

Это не просто бумажки для аудитора. Это ваш язык для диалога с вендорами, с руководством, с отделом закупок. Вы можете требовать устройства, соответствующие этим спецификациям. Имеете полное право.

FAQ: 10 острых вопросов, которые мне задают после таких докладов

  1. Мои наушники Redmi Buds сейчас опасны?
    Если у вас модель от 3 Pro до 6 Pro и вы не обновляли прошивку (а обновлений, скорее всего, и не было), то технически — да. Риск утечки данных при звонке или внезапного отключения реален.
  2. Это касается только Xiaomi?
    Абсолютно нет. Исследователи сфокусировались на этой модели, но проблема с «мусорными» RFCOMM-каналами и слабой обработкой команд — бич индустрии бюджетных и средних TWS-наушников. Где-то дыр больше, где-то меньше.
  3. А iPhone или Samsung Galaxy Buds безопаснее?
    Как правило, у крупных вендоров с репутацией процесс проверки безопасности прошивок строже. Но гарантий нет. Любое Bluetooth-устройство — потенциальный вектор. Просто вероятность эксплуатации ниже.
  4. Можно ли как-то пропатчить это самому?
    Нет. Прошивка в таких устройствах закрытая, подписанная криптографическими ключами производителя. Самостоятельное обновление невозможно. Только ждать апдейта от Xiaomi, которого может и не быть.
  5. Наш DLP не видит такие утечки?
    Скорее всего, нет. Классические DLP-системы мониторят сетевой трафик, USB-порты, печать. Утечка по Bluetooth через служебный канал для них — слепое пятно. Нужны специализированные средства.
  6. Что страшнее: утечка номеров или DoS?
    С точки зрения бизнеса — оба варианта убийственны. Утечка номеров звонков CEO может раскрыть круг переговоров по слиянию. DoS во время презентации инвесторам сорвёт сделку. Это две стороны одной медали.
  7. Действительно ли хакеру нужен только MAC-адрес?
    Да. И это грустно. MAC-адрес Bluetooth устройство регулярно broadcast'ит в эфир, когда активно. Его сбор — вопрос пары минут с любого ноутбука в радиусе действия. Это не секретная информация.
  8. Есть ли работающие коммерческие решения для защиты?
    Есть комплексные UEM (Unified Endpoint Management) платформы, которые начали добавлять функционал контроля Bluetooth-профилей. И есть отдельные решения для мониторинга радиоэфира. Но это всегда кастомизация под нужды.
  9. Обязан ли работодатель обеспечивать безопасность личных устройств?
    Если личное устройство имеет доступ к корпоративным данным или ресурсам (пусть даже только к звуку с корпоративного ноутбука), то да. Юридические риски при инциденте лягут на компанию. Суд встанет на сторону регулятора.
  10. Это вообще лечится? Или мы все обречены?
    Лечится. Жёсткой политикой, техническим контролем и, что самое главное, сменой парадигмы. Нужно перестать делить угрозы на «серьёзные» (сеть, почта) и «несерьёзные» (наушники, часы). Любая точка входа — серьёзная.

Безопасность — это не точка, куда вы приходите. Это дорога, по которой вы идёте. И на этой дороге в 2026 году придётся смотреть не только под ноги, но и по сторонам, и даже прислушиваться к тихому перезвону чужих беспроводных наушников в кармане соседа ).

══════

Больше материалов: Центр знаний SecureDefence.

Оставьте заявку на бесплатную консультацию: [Перейти на сайт]