Drei Schwachstellen in Airoha-Chipsätzen gefährden Millionen Bluetooth-Kopfhörer

Sicherheitsexperten von ERNW Research haben drei zusammenhängende Schwachstellen in weit verbreiteten Bluetooth-Kopfhörern identifiziert. Die Lücken betreffen Geräte von Sony, Marshall, Bose, Jabra und weiteren Herstellern, die auf Airoha-Chipsätzen basieren. Angreifer können sich ohne vorherige Kopplung mit den Kopfhörern verbinden, Firmware manipulieren und im ungünstigsten Fall die Kontrolle über verbundene Smartphones erlangen.

Drei CVE-Einträge mit weitreichenden Folgen

Die Forscher haben ihre Erkenntnisse nach sechsmonatiger koordinierter Offenlegung nun vollständig publiziert. Die Schwachstellen tragen die Bezeichnungen CVE-2025-20700, CVE-2025-20701 und CVE-2025-20702. Sie ermöglichen es Angreifern in Bluetooth-Reichweite, ohne Authentifizierung auf die Geräte zuzugreifen.

Das Kernproblem liegt im proprietären RACE-Protokoll von Airoha, das ursprünglich für Gerätekonfiguration und Firmware-Updates entwickelt wurde. Die Forscher entdeckten, dass dieses Protokoll leistungsstarke Debugging-Funktionen bietet – darunter den Zugriff auf Flash-Speicher und RAM der Kopfhörer.

CVE-2025-20700 betrifft Bluetooth Low Energy-Verbindungen. Der GATT-Dienst verlangt keine Authentifizierung, sodass Angreifer sich mit in der Nähe befindlichen Kopfhörern verbinden können.

CVE-2025-20701 bezieht sich auf Bluetooth Classic. Viele Geräte akzeptieren Verbindungen ohne vorherige Kopplung, was beispielsweise Zugriff auf das Mikrofon ermöglicht.

CVE-2025-20702 beschreibt die exponierten Debug-Funktionen des RACE-Protokolls selbst, das Lesen und Schreiben im Flash- und RAM-Speicher erlaubt.

Technischer Hintergrund zum RACE-Protokoll

Die Forscher stießen während ihrer Auracast-Forschung auf das RACE-Protokoll. Es nutzt eine einheitliche Paketstruktur und wird über mehrere Schnittstellen transportiert: USB HID, RFCOMM über Bluetooth Classic und GATT über Bluetooth Low Energy.

Die sicherheitsrelevanten Befehle umfassen „Get Build Version“ für Fingerprinting, „Read Flash“ für den Zugriff auf gespeicherte Daten und „Read/Write RAM“ für beliebige Speicheroperationen. Je nach Hersteller kommen unterschiedliche UUIDs zum Einsatz.

Angriffsvektoren und praktische Auswirkungen

Direkter Angriff auf Kopfhörer

Der einfachste Angriffsweg führt über BLE. Nach erfolgreicher Verbindung kann ein Angreifer:

• Audio über das Mikrofon abhören
• Metadaten zu abgespielten Medien auslesen
• Die komplette Firmware extrahieren
• Kopplungsinformationen gespeicherter Geräte auslesen
• Beliebigen Code einschleusen oder die Firmware dauerhaft manipulieren

Das Schreiben in den Flash-Speicher dauert je nach Verbindungsart drei bis fünf Minuten und erfordert die Erstellung eines gültigen Firmware-Images mit aus dem Flash ausgelesenen Verschlüsselungsschlüsseln.

Erweiterte Angriffe auf verbundene Smartphones

Deutlich problematischer wird die Situation, wenn Angreifer die Kopfhörer als Sprungbrett zu verbundenen Smartphones nutzen. Der Angriff verläuft in vier Schritten:

1. Verbindung zu den Kopfhörern über BLE oder Bluetooth Classic
2. Auslesen des Flash-Speichers via RACE-Protokoll
3. Extraktion der Kopplungstabelle mit Link Keys
4. Vortäuschen der Kopfhörer-Identität gegenüber dem Smartphone

Mit dem extrahierten Link Key kann sich der Angreifer als vertrauenswürdiges Gerät ausgeben. Aus dieser Position sind weitere Angriffe möglich:

• Datenextraktion: Abruf von Telefonnummer, Kontakten und Anrufverlauf über HfP-Befehle
• Fernsteuerung: Aktivierung von Sprachassistenten zum Senden von Nachrichten oder Tätigen von Anrufen
• Anrufmanipulation: Unbemerkte Anrufannahme oder Anrufe zu kostenpflichtigen Nummern
• Aktives Abhören: Initiieren eines Anrufs zur Aktivierung des Smartphone-Mikrofons

Betroffene Geräte und Hersteller

Die Forscher haben 28 Gerätemodelle explizit als anfällig bestätigt:

Sony: WF-1000XM3/4/5, WH-1000XM4/5/6, WF-C500/510, WH-CH520/720N, WH-XB910N, WI-C100, Link Buds S, ULT Wear

Marshall: ACTON III, MAJOR V, MINOR IV, MOTIF II, STANMORE III, WOBURN III

JBL: Endurance Race 2, Live Buds 3

Weitere: Beyerdynamic Amiron 300, Bose QuietComfort Earbuds, Jabra Elite 8 Active, Jlab Epic Air Sport ANC, Teufel Tatws2

Diese Liste ist nicht vollständig. Airoha hat sich zu einem großen Anbieter im TWS-Segment entwickelt, weshalb die tatsächliche Anzahl betroffener Geräte deutlich höher liegen dürfte. Nicht alle Geräte sind gleichermaßen anfällig – einige Hersteller haben die SDK-Standardkonfiguration angepasst.

Patches und Herstellerreaktionen

Airoha stellte im Juni 2024 ein aktualisiertes SDK bereit. Die Implementierung liegt bei den Geräteherstellern:

• Jabra dokumentierte die CVEs in Versionshinweisen und listete alle betroffenen Geräte auf
• Marshall stellte Sicherheitsupdates bereit
• Beyerdynamic verteilt Updates über die mobile App
• Sony reagierte erst nach Ankündigung der öffentlichen Offenlegung

Viele Hersteller haben sich bisher nicht geäußert. Ob und wann Patches für alle betroffenen Geräte verfügbar sein werden, ist unklar.

Empfehlungen

Für Endanwender:

• Verfügbare Firmware-Updates installieren
• Bei erhöhtem Schutzbedarf kabelgebundene Kopfhörer nutzen
• Alte, ungenutzte Bluetooth-Verbindungen regelmäßig entfernen

Für Hersteller:

• SDK-Patches umgehend implementieren
• Security Assessments vor Produktveröffentlichung durchführen
• GATT-Dienste mit Authentifizierung versehen
• Debug-Funktionen in Produktionssystemen deaktivieren

Fazit

Die drei Schwachstellen verdeutlichen die Sicherheitsrisiken von Bluetooth-Peripheriegeräten. Besonders problematisch ist die Möglichkeit, gestohlene Link Keys zur Kompromittierung verbundener Smartphones zu nutzen. Die große Verbreitung von Airoha-Chips bedeutet, dass potenziell Millionen Geräte betroffen sein könnten.

Die Forscher stellen ein Whitepaper und das „RACE Toolkit“ zur Verfügung, damit Nutzer eigene Geräte prüfen können. Die Verantwortung für Patches und Nutzerinformation liegt letztlich bei den Herstellern.

Quellen: ERNW Research Whitepaper, RACE Toolkit (Open Source), 39c3-Vortrag, Airoha SDK-Update (Juni 2024)

Passend dazu:

---

Bild/Quelle: https://depositphotos.com/de/home.html

Folgen Sie uns auf X

Folgen Sie uns auf Bluesky

Folgen Sie uns auf Mastodon

Hamsterrad Rebell – Cyber Talk