Sicherheitsforscher von ERNW haben einen Bericht veröffentlicht, in dem sie Bluetooth-Verbindungsfehler in mit Airoha ausgestatteten Geräten aufzeigen, darunter kabellose Ohrstöpsel, Kopfhörer und Lautsprecher von großen Marken wie Sony, JBL und Beyerdynamic. Das bedeutet, dass potenziell Millionen von Geräten und Nutzern gefährdet sind.

Wie Angreifer die Sicherheitslücken ausnutzen können

In dem Bericht heißt es, dass die Fehler im benutzerdefinierten Kommunikationsprotokoll der in Taiwan hergestellten Airoha-Chipsätze liegen, die bei der Verwendung von Bluetooth Low Energy und Bluetooth Classic offengelegt werden. Der Bericht hebt hervor, dass diese Schwachstellen es Angreifern ermöglichen, sich Zugang zu Kopfhörern und dem verbundenen Gerät innerhalb der Bluetooth-Reichweite (~10 Meter) zu verschaffen, ohne dass der Nutzer zustimmt oder gewarnt wird.

Sobald der Zugriff erfolgt ist, gibt es mehrere Möglichkeiten, wie Angreifer diese Schwachstellen und unsicheren Verbindungen ausnutzen können. Am beunruhigendsten ist, wie sie das kompromittierte Gerät abhören oder ausspionieren können, insbesondere durch Anzapfen der Mikrofone in den Kopfhörern, um Ton aufzunehmen oder wichtige Informationen zu extrahieren.

Eine andere Methode, die die Forscher gezeigt haben, könnte es Angreifern ermöglichen, das verbundene Smartphone zu kapern. Anschließend könnten sie Befehle ausführen, z. B. Anrufe tätigen, und Informationen wie Anrufprotokolle, Verlauf und Nummern auslesen. Je nach Betriebssystem könnten Angreifer diesen Zugang auch nutzen, um Aktionen über Sprachassistenten auszulösen.

Sollten Durchschnittsverbraucher beunruhigt sein?

Auch wenn das alles ziemlich beängstigend klingt, wurde festgestellt, dass die Art der Angriffe vor allem für hochrangige Ziele wie Politiker, Aktivisten und Journalisten relevant ist und dass normale Nutzer nicht übermäßig beunruhigt sein sollten. Zum Beispiel würden die Nutzer:innen wahrscheinlich sofort einen Alarm erhalten, wenn jemand die Verbindung gekapert hat. Beispielsweise dann, wenn die Audiowiedergabe auf den Kopfhörern stoppt. Gleichzeitig müssen sich die Angreifer in der Nähe aufhalten, was den Opfern einen Hinweis geben könnte.

Zusätzlich zu den bestätigten Audioprodukten hat das Sicherheitsunternehmen eine Liste mit möglicherweise betroffenen Geräten veröffentlicht, die mit Airoha-Chips ausgestattet sind. Dazu gehören der WH-1000XM4, der WH-1000XM5 (Test) und der neue WH-1000XM6 (Test) von Sony. Auch die WF-1000XM3, WF-1000XM4, LinkBuds S, CH-720N und ULT Wear (Testbericht) sind betroffen.

Modelle wie der Elite 8 Active von Jabra, der Endurance Race 2 von JBL und die Live Buds 3 sind ebenfalls in der Liste enthalten. Andere prominente Ohrhörer sind die QuietComfort Earbuds von Bose und der Amiron 300 von Beyerdynamic. Auch die Geräte von Marshall werden erwähnt, darunter Acton III, Major V, Minor IV und Motif II.

Wie die Forscherinnen und Forscher feststellten, könnte das Ausmaß der gefährdeten Geräte jedoch weitaus größer sein, da es kleinere Marken gibt, deren Produkte mit betroffenen Chips ausgestattet sind, ohne dass die Hersteller davon wissen.

Was solltet Ihr tun? Gibt es eine Lösung?

Der taiwanesische Chiphersteller hat den Bericht bereits bestätigt, nachdem die Sicherheitsfirma ihn bereits im März über die Schwachstellen informiert hatte. Aber erst Anfang Juni hat Airoha den Herstellern ein aktualisiertes SDK zur Verfügung gestellt. Jetzt liegt es an Marken wie Sony, Bose und JBL, den Fehler durch Software-Updates auf die betroffenen Geräte zu übertragen.

Wenn Eure Geräte noch kein Update erhalten haben, solltet Ihr Maßnahmen ergreifen, wie z. B. unterwegs auf Verbindungsprobleme zu achten oder Bluetooth an Eurem Gerät auszuschalten, wenn es nicht benutzt wird.

Neue M.2-SSDs von Synology finden ihren Weg in den Handel. Das Spitzenmodell der Serie SNV5400 bietet 1,6 TB Speicherplatz und 3.000 MB/s beim Lesen über PCIe 3.0. Die Technik ist in Zeiten von PCIe 5.0 längst nicht mehr aktuell. Dennoch werden extrem hohe 620 Euro verlangt. Für neue NAS wird das sogar zur Pflicht.

Schon länger bietet Synology sowohl Festplatten (HDDs) als auch SSDs unter dem eigenen Logo an, die eigens für die NAS-Systeme des Herstellers bestimmt sind. Ab den NAS der 25-Plus-Serie (z.B. DS925+) macht Synology sogar zertifizierte Laufwerke zur Pflicht – bisher sind das nur die eigenen. Nur über Umwege können SSDs und HDDs von Drittanbietern eingesetzt werden.

SNV5400 nutzt immer noch PCIe 3.0

Auf die SNV3400 SSD lässt Synology die Serie SNV5400 für das Enterprise-Segment folgen. Diese reicht nun von 400 GB über 800 GB bis 1.600 GB (1,6 TB). Mehr Leistung gibt es mit den größeren Modellen, doch bleibt die Technik altbacken: Die SSDs nutzen noch PCIe 3.0 x4, während die SSD-Branche gerade dabei ist, PCIe 4.0 durch PCIe 5.0 als neuen Standard zu ersetzen. Mit maximal 3.000 MB/s beim Lesen und 1.000 MB/s beim Schreiben wird aber nicht einmal PCIe 3.0 x4 ausgereizt. Zu den verbauten Komponenten gibt es keine Angaben.

Preise jenseits von Gut und Böse

Auch wenn diese Leistung für den Einsatz im NAS genügen mag, sind die Preise dafür schon als „frech“ anzusehen. Satte 208 Euro werden im Online-Handel für die SNV5420 mit 400 GB verlangt, das sind umgerechnet 520 Euro pro TB, während es „normale“ SSDs für unter 100 Euro pro TB gibt. Eine für den NAS-Einsatz bestimmte WD Red SN700 mit 1 TB kostet zum Beispiel nur 80 Euro. Beim 800-GB-Modell sind es 335 Euro oder 420 Euro pro TB und beim neuen Flaggschiff mit 1,6 TB sind es 620 Euro mit im Vergleich fast günstigen 390 Euro pro TB.

Laufwerkszwang lässt sich umgehen

Kunden erhalten zum hohen Preis die Gewissheit, dass diese SSDs in den NAS des Herstellers problemlos funktionieren, sowie eine gehobene Schreibgarantie (TBW). Bei den neuen NAS der Plus-Serie von Synology werden offiziell zertifizierte SSDs des Herstellers praktisch zur Pflicht, dafür genügen aber auch die SNV3410 mit 400 GB ab 149 Euro. Und die Laufwerksanforderung lässt sich aushebeln: Sie basiert auf einer Kompatibilitätsdatenbank, die sich wiederum per Skript um ein gewünschtes Laufwerk erweitern lässt. Das Ganze geschieht natürlich auf eigene Gefahr und ohne Sicherheit, dass es dauerhaft funktioniert, bietet mit Hinblick auf die hohen Preise für Synologys Enterprise-SSDs und HDDs aber großes Einsparpotenzial.

• Synology sperrt NAS-Laufwerke: Was noch funktioniert und wie man es umgeht

Die EU-Kommission versucht zu beschwichtigen. Tech-Regulierungen der EU wie der Digital Service Act (DSA) und der Digital Markets Act (DMA) seien nicht Teil der Handelsgespräche mit den USA, erklärte ein Kommissionssprecher laut einem Bericht der Nachrichtenagentur Reuters.

Konkret sagte der Sprecher Thomas Regnier auf der täglichen Pressekonferenz in Brüssel: „Die Gesetze werden nicht geändert. Der DMA und DSA liegen bei den Gesprächen mit den USA nicht auf dem Tisch.“ Ebenso würde die EU nicht dulden, dass sich ausländische Regierungen bei der Durchsetzung der EU-Gesetze einmischen. Man werde die Umsetzung der Rechtsvorschriften nicht anpassen. In diesem Kontext spricht Regnier auch von den hohen Strafen, die potenziell möglich sind, wenn Konzerne gegen die Vorgaben verstoßen.

Massive Kritik an amerikanischer Einflussnahme auf europäische Tech-Regulierung

Dass die amerikanischen Tech-Konzerne ein Mitspracherecht bei der Umsetzung des DMA erhalten sollen, berichtete das Handelsblatt in der letzten Woche. Quellen aus EU-Verhandlungskreisen und der Tech-Industrie berichteten demnach, dass über die Einführung eines Ausschusses nachgedacht wird. US-Vertreter sollen sogar ein zeitweises Aussetzen der Regeln fordern.

Vor solchen Schritten warnen europäische Digitalunternehmen. Start-up-Verbände sprechen etwa in einem offenen Brief von einem „Kuhhandel“, den es nicht gegeben dürfe. „Das würde die Bemühungen der EU um eine digitale Souveränität Europas völlig konterkarieren“, erklärt Verena Pausder, Vorsitzende des Startup-Verbands. Insbesondere der DMA sei nötig, um „faire Wettbewerbsbedingungen, Marktzugang und damit Innovationen zu sichern“.

Ähnlich äußern sich die Chefs von Unternehmen wie Your Guide, Personio und Zalando. Gesetze wie der DMA seien „vielleicht die letzte Chance, die Macht von Digital-Monopolen zu begrenzen und neue Geschäftsfelder von KI bis Robotik für die deutsche und europäische Wirtschaft zu erschließen“, heißt es in einem Brief an Bundeskanzler Friedrich Merz (CDU), der dem Handelsblatt vorliegt.

Digital Marktes Act als Teil des Zollstreits

Während der Digital Service Act (DSA) generell regelt, wie Digitalunternehmen unter anderem mit Online-Inhalten umgehen müssen, richtet sich der Digital Markets Act (DMA) speziell an Gatekeeper. Die Regeln zielen also ausschließlich auf Plattformen, die eine marktbeherrschende Stellung haben. Das sind vor allem die Big-Tech-Konzerne aus den USA wie Apple, Amazon, Google, Microsoft und Meta, aber auch der chinesische TikTok-Betreiber ByteDance.

Mit dem DMA gehen besonders strenge Auflagen einher. Diese führten etwa dazu, dass Apple unter anderem den App Store umbauen und iOS anpassen musste. Der Konzern kritisiert die Vorgaben.

Aufgrund von Verstößen hatte die EU-Kommission sowohl gegen Apple als auch gegen Meta bereits erste Geldstrafen verhängt. Diese fielen aber milde aus. Beobachter bewerten das als Versuch, den Zollstreit mit der Trump-Administration nicht weiter anzuheizen. Vertreter der US-Regierung hatten die EU-Regulierung der Tech-Konzerne immer wieder als Handelshemmnis bezeichnet und damit Zölle gerechtfertigt.