9일 IT업계에 따르면 미국 비영리 보안기관인 CERT 조정센터가 샤오미 무선 이어폰 '레드미 버즈' 일부 모델에서 정보 유출과 서비스 거부(DoS) 취약점이 확인됐다고 공지했다. 대상은 레드미 버즈 3 프로·4 프로·5 프로·6 프로다.
CERT는 공격자가 블루투스 통신 범위 안에 있기만 하면 별도 페어링이나 인증 없이도 악성 RFCOMM 트래픽을 보낼 수 있다고 설명했다. 문제가 된 취약점은 CVE-2025-13834와 CVE-2025-13328이다. CERT에 따르면 전자는 비정상 TEST 명령 처리 과정에서 초기화되지 않은 메모리 버퍼가 반환되는 결함으로, 1회 패킷으로 최대 127바이트가 노출될 수 있다. 연구진은 이 과정에서 통화 상대 전화번호 같은 통화 관련 메타데이터가 유출될 수 있다고 밝혔다.
후자인 CVE-2025-13328은 TEST 명령 플러딩으로 기기 처리 대기열을 과부하시켜 펌웨어 크래시를 유도하는 유형이다. 실제 악용 시 연결된 기기가 강제로 끊기고, 이어버드를 충전 케이스에 넣어 재설정해야 복구될 수 있다고 CERT는 덧붙였다. 해당 취약점은 이희조 고려대 교수 연구진이 제보한 것으로 명시됐다.
국내에서도 주의 권고가 나왔다. 한국인터넷진흥원(KISA)은 지난 2월 5일 공지에서 동일 취약점을 안내하며 당시 기준으로 보안 패치가 제공되지 않는 만큼, 공공장소에서는 이어폰을 사용하지 않을 때 블루투스를 비활성화하라고 권고했다.
샤오미 측은 외신에 "일부 칩 공급업체의 구글 패스트 페어 비표준 구성과 관련된 이슈"라며 공급업체와 함께 OTA 업데이트를 진행 중이라고 밝혔다.
한국 공식 사이트에는 레드미 버즈 5 프로·6 프로 제품 페이지도 운영되고 있어, 이용자들은 제조사 앱 내 펌웨어 버전과 업데이트 공지를 수시로 확인할 필요가 있다.