Eine schwerwiegende Sicherheitslücke in vielen Bluetooth-Kopfhörern erlaubt Angreifern, Daten aus der Ferne von den Geräten auszulesen und Verbindungen zu übernehmen. Das haben Forscher des deutschen Sicherheitsunternehmens ERNW herausgefunden. Sie stellten ihren Fund auf der diesjährigen Ausgabe der Security-Konferenz TROOPERS vor. Betroffen sind mutmaßlich Millionen Geräte verschiedener Hersteller; Updates zur Problembehebung sind noch nicht verfügbar. Dennoch beruhigen die Forscher: Angriffe seien zwar möglich, die Zielgruppe für Attacken jedoch begrenzt.

Die Lücken befinden sich in Bluetooth-SoC (System-on-Chip) des taiwanischen Herstellers Airoha, der vor allem für „True Wireless Stereo“-Kopfhörer (TWS) beliebt ist. Mittels Airoha-Chips können kleine In-Ear-Kopfhörer Stereoton latenzfrei von Abspielgeräten wie Smartphones wiedergeben. Namhafte Hersteller wie Sony, JBL, Marshall oder Bose greifen teilweise darauf zurück, verbauen aber auch Bluetooth-Technik anderer Zulieferer.

Airoha verpasste seinen Bluetooth-Chips ein selbstgestricktes Protokoll, das Manipulationen am Arbeits- und Flashspeicher der Geräte per Funk ermöglicht. Das Protokoll, das sowohl via Bluetooth Low Energy (BLE) als auch über „klassisches“ Bluetooth (BD/EDR) erreichbar ist, soll mutmaßlich zur Interaktion mit Hersteller-Apps dienen, war aber auch eine Einladung für die neugierigen Sicherheitsforscher. Sie konnten darüber Kopfhörer verschiedener Hersteller aus der Ferne übernehmen – und das ohne Anmeldung an einer App oder das bei Bluetooth übliche „Pairing“. Mittels Vollzugriff auf Flash und RAM der Ohrstöpsel konnten sie zudem die Verbindungen zu anderen Geräten, etwa dem Smartphone des eigentlichen Nutzers, übernehmen.

Lauschangriff, Speicherschnüffeleien und Informationslecks

Über einen Zugriff auf den Arbeitsspeicher des Bluetooth-Chips konnten die Forscher zunächst auslesen, welche Medien der Nutzer gerade abspielt, etwa einen Podcast oder ein Musikstück. Dieser Angriff ist jedoch mühselig: Da die Speicheradressen sich von Gerät zu Gerät unterscheiden, konnten die Forscher nicht einfach in einem vollbesetzten Bus wahllos Daten auslesen, sondern mussten ihren Angriff anpassen. Auf Android-Geräten konnten die Experten zudem die Telefonnummer des Geräts und eingehender Anrufe auslesen, bisweilen sogar die Anrufhistorie und das Adressbuch des Telefons.

Die Forscher konnten die Verbindung zwischen Telefon und Kopfhörer übernehmen, indem sie den kryptografischen Schlüssel der Bluetooth-Verbindung aus dem Kopfhörer kopieren. Dann stehen ihnen viele Möglichkeiten offen – sie können Anrufe auslösen oder ablehnen, Sprachassistenten wie Siri und Gemini starten und das Opfer mit mehreren Methoden abhören. Ein Lauschangriff funktioniert die Kopfhörer zu Wanzen um: Die Angreifer geben sich gegenüber den Kopfhörern als das verbundene Smartphone aus und leiten den aufgenommenen Ton aus deren Mikrofon um. Da viele drahtlose Ohrstöpsel jedoch nur eine Verbindung zu einem einzigen Gerät aufrechterhalten, ist dieser Angriff leicht zu bemerken. Das Opfer hört plötzlich keine Musik oder Anrufe mehr auf seinen Kopfhörern und dürfte so schnell misstrauisch werden.

Die zweite Methode simuliert gegenüber dem Telefon einen Kopfhörer und verleitet dieses dazu, einen Anruf zu den Angreifern zu tätigen. Achtet das Opfer gerade nicht auf sein Smartphone, können die Bluetooth-Spione nun alles mithören, was in Hörweite des Geräts passiert.

Auch wenn diese Angriffe auf dem Papier zunächst erschreckend wirken, beruhigen die ERNW-Forscher: Um einen Lauschangriff durchführen zu können, müssen viele Bedingungen erfüllt sein. Allen voran: Der oder die Angreifer müssen sich in Reichweite des Bluetooth-Nahfunks befinden, ein Angriff über das Internet ist nicht möglich. Außerdem müssen sie mehrere technische Schritte durchführen, ohne aufzufallen. Und sie müssen einen Grund haben, die Bluetooth-Verbindung abzuhören, was nach Einschätzung der Entdecker nur für wenige Zielpersonen denkbar sei. So seien etwa Prominente, Journalisten oder Diplomaten, aber auch politische Dissidenten und Mitarbeiter in sicherheitskritischen Unternehmen mögliche Angriffsziele.

Schwere der Lücken umstritten

Über die Schwere der Lücken herrscht Uneinigkeit zwischen den Entdeckern und Hersteller Airoha. Während Erstere von einer kritischen (CVE-2025-20702, CVSS 9,6/10) und zwei Lücken mit hohem Risiko (CVE-2025-20700 und CVE-2025-20701, beide CVSS 8,8/10) ausgehen, widerspricht Airoha und argumentiert mit der Komplexität der Angriffe und den ihrer Ansicht nach fehlenden Auswirkungen auf das verbundene Mobiltelefon.

Insgesamt hat Airoha drei CVE-IDs für die Lücken reserviert:

• CVE-2025-20702: CVSS 9,6/10 (Risiko „kritisch“ umstritten, siehe oben): Kritische Eigenschaften des proprietären Airoha-Protokolls
• CVE-2025-20700: CVSS 8,8/10 (Risiko „hoch“): Fehlende Authentifizierung für den GATT-Dienst
• CVE-2025-20701: CVSS 8,8/10 (Risiko „hoch“): Fehlende Authentifizierung für das Bluetooth-Pairing

Betroffen: Millionen Geräte von Sony, JBL und anderen

Wie viele Geräte weltweit von der Sicherheitslücke betroffen sind, ist unklar. Angreifer könnten womöglich Millionen Geräte zu Wanzen umfunktionieren oder deren Speicher auslesen. Wie die Forscher in ihrem Blogartikel betonen, haben sie in ihren Tests nur einen kleinen Teil aller mutmaßlich betroffenen Bluetooth-Kopfhörermodelle überprüfen können. Die folgenden Modelle sind jedoch in jedem Fall angreifbar, wenn auch bisweilen nur mit einem Teil der Attacken gegen Airoha-Chips.

Die ERNW-Forscher vermuten, dass es sich um über 100 verschiedene Gerätetypen handeln könnte. Eine umfassende Einschätzung sei für sie jedoch nicht machbar, da Airoha-Chips unerkannt in vielen Bluetooth-Geräten verbaut seien. Einige Hersteller, erklären die Experten weiter, wüssten gar nicht, dass die Chips des taiwanischen Herstellers in ihren Geräten enthalten sind. Sie hätten die Entwicklung teilweise an Unterauftragnehmer ausgelagert. Die großen Hersteller Sony, Bose und JBL erreichen gemeinsam einen Marktanteil von 20 Prozent der 1,4 Milliarden im vergangenen Jahr verkauften Kopfhörer, jedoch sind nur wenige Modelle der Hersteller verwundbar. Dennoch: Auch wenn es sich lediglich um ein Prozent der Gesamtverkäufe handelt, ergibt das noch immer an die drei Millionen verwundbare Geräte. Neben Kopfhörern verschiedener Bauarten ist auch ein Auracast-Sender betroffen, der „earisMax Bluetooth Auracast Sender“

Apple, mit 22 Prozent Marktanteil der Platzhirsch der Kopfhörer-Hersteller, ist hingegen dieses Mal nicht betroffen (hatte aber im vergangenen Jahr mit eigenen Problemen bei seinen drahtlosen Kopfhörern zu kämpfen). Original-AirPods enthalten keine Airoha-Chips, wohl aber verschiedene Nachbauten aus chinesischer Fertigung, die auf Online-Marktplätzen wechselnder Vertrauenswürdigkeit angeboten werden.

Reaktion der Hersteller ungenügend

In ihrer Präsentation auf der Security-Konferenz TROOPERS üben die Entdecker Kritik an Hersteller Airoha. Obwohl Airoha auf seiner Informationsseite für Sicherheitsforscher verspricht, innerhalb von drei bis fünf Tagen zu reagieren und mit PGP verschlüsselte E-Mails zu unterstützen, war beides nicht der Fall. Obwohl die Sicherheitsforscher bereits am 25. März dieses Jahres detaillierte Informationen zur Sicherheitslücke an Airoha schickten, dauerte es bis Ende Mai, also zwei weitere Monate, bis die Taiwaner reagierten. Auch von drei angesprochenen Kopfhörer-Herstellern reagierte lediglich einer auf den Sicherheitshinweis. Immerhin: Eine Woche später, am 4. Juni 2025, stellte Airoha seinen Kunden aktualisierte Software Development Kits (SDK) zur Verfügung, die den Fehler bereinigten.

Updates? Unklar

Doch ob – und wann – Sony, JBL und Co. die Sicherheitslücke in Firmware-Updates bereinigen, ist weiterhin unklar. Bei den Recherchen für diesen Artikel überprüften wir die Kopfhörermodelle in der Übersicht betroffener Geräte, die ERNW uns zur Verfügung stellte. Für knapp die Hälfte der Geräte konnten wir überhaupt keine Informationen zu Firmware-Updates finden, weil diese nur Besitzern der Kopfhörer über die Hersteller-App ausgespielt werden. Bei allen anderen Geräten ist die jüngste Firmware vom 27. Mai 2025 oder älter – wurde also veröffentlicht, bevor Airoha sein SDK aktualisierte. Somit dürfte der Fehler auf den allermeisten Geräten noch nicht behoben sein und ist somit ein „Zero Day“.

Mit Details zur technischen Umsetzung oder gar einem „Proof of Concept“-Exploit halten sich die Forscher daher noch zurück. Diese sollen folgen, sobald Herstellerupdates verfügbar sind und Kopfhörerbesitzer ihre Geräte gegen die Bluetooth-Angriffe schützen können. Da für ein Firmware-Update in der Regel eine App des Herstellers zuständig ist, die im Alltag selten bis nie zum Einsatz kommt, dürfte es lange dauern, bis der Fehler beseitigt ist. Erschwerend kommt hinzu: Einige Gerätetypen werden womöglich schon jetzt nicht mehr hergestellt und mit Updates versorgt.

(cku)