Sicherheitsrisiko bei Bluetooth-Kopfhörern mit Airoha-Chipsatz – Schwachstellen erfordern Nähe des Angreifers

ERNW Enno Rey Netzwerke GmbH hat mehrere Schwachstellen in Bluetooth-Kopfhörern und -Ohrhörern identifiziert, die auf System-on-a-Chip-Lösungen (SoCs) des Herstellers Airoha basieren. Die Erkenntnisse wurden im Rahmen der diesjährigen TROOPERS-Konferenz vorgestellt und in einem aktuellen Blogbeitrag zusammengefasst.

Laut ERNW können betroffene Geräte kompromittiert werden, wenn sich ein Angreifer in Bluetooth-Reichweite befindet – dies sei die einzige zwingende Bedingung für einen erfolgreichen Angriff. Einige Medienberichte hätten die tatsächlichen Voraussetzungen jedoch ungenau oder fehlerhaft wiedergegeben.

Airoha zählt zu den führenden Anbietern von Bluetooth-SoCs und liefert neben der Hardware auch Referenzdesigns und SDKs zur Implementierung. Zahlreiche bekannte Hersteller von True-Wireless-Stereo (TWS)-Geräten setzen auf die Chips und Softwarelösungen des Unternehmens.

Die von ERNW entdeckten Schwachstellen betreffen sowohl die Hardware als auch die zugehörige Firmware der betroffenen Produkte. Derzeit laufen bereits Patch-Prozesse zur Behebung der Lücken – erste Details hierzu wurden ebenfalls auf der Konferenz vorgestellt.

Nach Angaben von ERNW geben die betroffenen Geräte ein leistungsfähiges, proprietäres Protokoll frei, das unter anderem den Lese- und Schreibzugriff auf RAM und Flash-Speicher ermöglicht. Dieses Protokoll sei für Angreifer ohne vorherige Kopplung über zwei verschiedene Bluetooth-Schnittstellen erreichbar: zum einen über BLE GATT, zum anderen über RFCOMM auf Basis von Bluetooth Classic (BR/EDR). Insbesondere Bluetooth Classic sei problematisch, da dort keine Authentifizierung vorausgesetzt werde, wodurch ein unautorisierter Zugriff erleichtert werde.

Der Name des betroffenen Protokolls bleibt vorerst unter Verschluss. Die Schwachstellen wurden unter folgenden CVE-Kennungen registriert, deren Veröffentlichung noch aussteht:

• CVE-2025-20700: Fehlende Authentifizierung für GATT-Dienste

• CVE-2025-20701: Fehlende Authentifizierung für Bluetooth BR/EDR

• CVE-2025-20702: Kritische Funktionen eines benutzerdefinierten Protokolls

Eine ausführlichere Analyse will ERNW in einem kommenden Blogbeitrag sowie einem Whitepaper veröffentlichen.

Im Rahmen ihrer Untersuchungen hat ERNW selbst eine Reihe von Geräten erworben und zusätzlich Modelle aus dem persönlichen Umfeld analysiert. Demnach treten die Schwachstellen sowohl bei Einsteigergeräten als auch bei Flaggschiff-Modellen auf. Bestätigte betroffene Hersteller sind unter anderem Beyerdynamic, Marshall und Sony. Auch viele weitere Geräte mit Airoha-Chips gelten als potenziell anfällig.

Betroffene Geräte

Folgende Modelle wurden von ERNW als verwundbar identifiziert:

• Beyerdynamic: Amiron 300

• Bose: QuietComfort Earbuds

• EarisMax: Bluetooth Auracast Sender

• Jabra: Elite 8 Active

• JBL: Endurance Race 2, Live Buds 3

• Jlab: Epic Air Sport ANC

• Marshall: ACTON III, MAJOR V, MINOR IV, MOTIF II, STANMORE III, WOBURN III

• MoerLabs: EchoBeatz

• Sony: CH-720N, Link Buds S, ULT Wear, WF-1000XM3, WF-1000XM4, WF-1000XM5, WF-C500, WF-C510-GFP, WH-1000XM4, WH-1000XM5, WH-1000XM6, WH-CH520, WH-XB910N, WI-C100

• Teufel: Tatws2

Diese Liste sei nicht abschließend, betont ERNW. Zudem seien nicht alle Geräte gleichermaßen betroffen – manche wiesen nur einzelne der identifizierten Schwachstellen auf. Mindestens ein Hersteller habe offenbar bereits Maßnahmen gegen zwei der Schwachstellen (CVE-2025-20700 und CVE-2025-20701) umgesetzt – ob absichtlich oder unbeabsichtigt, ist unklar.

Ein weiteres Problem: Einige Hersteller seien sich gar nicht bewusst, dass in ihren Geräten ein Airoha-SoC verbaut ist. Teile der Entwicklung, etwa das Bluetooth-Modul, würden häufig an Dritte ausgelagert. Betroffene Hersteller, die unsicher sind, ob ihre Produkte verwundbar sind, können sich laut ERNW direkt an das Unternehmen wenden.

Auswirkungen der Sicherheitslücke

In den meisten Fällen ermöglichen diese Sicherheitslücken Angreifern, die Kopfhörer über Bluetooth vollständig zu übernehmen. Es ist keine Authentifizierung oder Kopplung erforderlich. Die Sicherheitslücken können über Bluetooth BR/EDR oder Bluetooth Low Energy (BLE) ausgelöst werden. Die einzige Voraussetzung ist, dass sich das Gerät in Bluetooth-Reichweite befindet. Es ist möglich, den RAM- und Flash-Speicher des Geräts zu lesen und zu beschreiben. Diese Funktionen ermöglichen es Angreifern auch, etablierte Vertrauensbeziehungen zu anderen Geräten, wie z. B. dem mit den Kopfhörern gekoppelten Telefon, zu kapern. Diese Funktionen ermöglichen mehrere Angriffsszenarien. Einige Beispiele werden im Folgenden kurz beschrieben.

Speicher lesen: Aktuelle Wiedergabe

Ein von uns durchgeführter Angriff bestand darin, die aktuell über die Kopfhörer wiedergegebenen Medien über RAM-Lese-Befehle auszulesen. Dies ist ein einfaches Beispiel für die RAM-Lesefunktion. Dieser Angriff muss jedoch für jedes Kopfhörermodell und jede Firmware-Version einzeln durchgeführt werden, da sich die Speicheradressen in verschiedenen Firmware-Versionen unterscheiden.

Ein Beispiel für den Angriff ist unten dargestellt:

Medien-Info ausnutzen / Quelle: ERNW

Abhören und Wurmfähigkeit: Weitere Risiken durch Bluetooth-Schwachstellen

Die von ERNW identifizierten Schwachstellen eröffnen mehrere Szenarien für das Abhören von Gesprächen. Der einfachste Angriffsweg nutzt eine fehlerhafte Bluetooth-BR/EDR-Kopplung. Den Forschern zufolge ist es möglich, über das Bluetooth-Freisprechprofil (HFP) eine Verbindung zu einem betroffenen Gerät herzustellen und auf das Mikrofon zuzugreifen – etwa um aufzuzeichnen, was gerade gesprochen wird. Da betroffene Kopfhörer in der Regel nur eine Audioverbindung gleichzeitig zulassen, werden bestehende Verbindungen beim Angriff getrennt, was diesen nicht unbemerkt macht. Ein unauffälliger Angriff ist nur möglich, wenn das Gerät zwar eingeschaltet, aber nicht aktiv genutzt wird.

Ein weiteres Abhörszenario ergibt sich durch das Ausnutzen bestehender Vertrauensbeziehungen zwischen gekoppelten Bluetooth-Geräten. Wird ein Kopfhörer beispielsweise mit einem Smartphone gekoppelt, vertraut das Telefon diesem Gerät. Ein Angreifer, der sich als der Kopfhörer ausgibt, kann diese Verbindung missbrauchen – etwa durch die Nutzung des HFP-Profils zur Steuerung des Telefons. Je nach Betriebssystem können so unter anderem Anrufe initiiert oder entgegengenommen werden.

ERNW demonstrierte eine komplette Angriffskette, beginnend mit der Extraktion der Bluetooth-Schlüssel aus dem Flash-Speicher der Kopfhörer. Diese Schlüssel wurden genutzt, um sich gegenüber einem zuvor gekoppelten Telefon als das Originalgerät auszugeben und einen Anruf auszulösen. Unter den richtigen Bedingungen konnten auf diese Weise Gespräche oder Geräusche im Umfeld des Telefons abgehört werden.

Auch der Zugriff auf persönliche Daten ist möglich: Üblicherweise lassen sich über eine Bluetooth-Verbindung die eigene Telefonnummer sowie Nummern eingehender Anrufe abrufen. Je nach Gerätekonfiguration sind zudem Anruflisten oder gespeicherte Kontakte einsehbar.

Darüber hinaus ermöglichen die Schwachstellen einen sogenannten wurmfähigen Exploit. Da Geräte anhand ihrer GATT-Dienste identifiziert werden können und es möglich ist, Firmware zu überschreiben und eigenen Code auszuführen, besteht prinzipiell das Potenzial zur automatisierten Verbreitung des Angriffs.

Was nun? Muss ich in Panik geraten?

Ist das also ernst?

Ja – technisch gesehen ist es ernst. In unserem Labor gibt es einen Proof-of-Concept. Ob dies jedoch für Sie als normaler Verbraucher praktisch gefährlich ist, hängt noch von mehreren Faktoren ab. Denn dies ist nur technisch möglich, wenn alle Bedingungen erfüllt sind. Echte Angriffe sind komplex und können nicht über das Internet oder zufällig durchgeführt werden. Ein Angriff würde Folgendes erfordern:

• Der Angreifer muss sich in Ihrer unmittelbaren Nähe befinden (innerhalb von ~10 Metern). Bluetooth funktioniert nur über kurze Entfernungen. Um die Schwachstelle auszunutzen, muss sich der Angreifer in Ihrer Nähe befinden, beispielsweise im selben Raum, Café oder Bus. Dies ist die einzige technische Voraussetzung.
• Mehrere technische Schritte müssen perfekt und unbemerkt ausgeführt werden, was hohe technische Kenntnisse erfordert.

Ja – die Vorstellung, dass jemand Ihre Kopfhörer kapern, sich gegenüber Ihrem Telefon als Sie ausgeben und möglicherweise Anrufe tätigen oder Sie ausspionieren könnte, klingt ziemlich beunruhigend. Aber diese Art von Angriff ist nur für hochkarätige Ziele sinnvoll:

• Journalisten, Diplomaten, politische Dissidenten
• Personen in sensiblen Branchen
• VIPs unter Beobachtung

Die meisten Menschen fallen nicht in diese Kategorien – Sie sind also wahrscheinlich kein Ziel. Personen in diesen Kategorien wird generell empfohlen, keine Bluetooth-Kopfhörer zu verwenden. Wenn Sie sich gefährdet fühlen und warten möchten, bis ein Patch verfügbar ist, bevor Sie Ihre Kopfhörer wieder verwenden, stellen Sie bitte sicher, dass Sie die Kopplung zwischen den Kopfhörern und Ihrem Mobiltelefon aufheben.

Quelle: ERNW Enno Rey Netzwerke GmbH

---