© Andrey Nekrasov / 123RF.com

Forscher haben eine gravierende Sicherheitslücke in Bluetooth-Kopfhörern entdeckt. Sie steckt in zahlreichen Produkten namhafter Hersteller.

Von der Schwachstelle  [1] sind Geräte betroffen, die auf Bluetooth-Chips des taiwanischen Anbieters Airoha Technology setzen. Dazu gehören insbesondere Modelle aus der Kategorie True Wireless Stereo (TWS), also kabellose In-Ear-Kopfhörer mit zwei getrennten Ohrstöpseln. Sie ermöglichen eine latenzarme Übertragung von Audiosignalen, etwa vom Smartphone zum Kopfhörer.

Die Schwachstelle betrifft ein proprietäres Kommunikationsprotokoll, das Airoha in seine Bluetooth-SoC-Designs integriert. Es wird sowohl zusammen mit Bluetooth Low Energy (BLE) als auch mit klassischem Bluetooth (Basic Rate/Enhanced Data Rate, BR/EDR) verwendet. BLE ist auf energieeffiziente Kommunikation mit kleinen Datenpaketen ausgelegt und kommt typischerweise für Steuerbefehle oder bei der Gerätekonfiguration zum Einsatz, während BR/EDR hauptsächlich zu Audioübertragungen dient. Airoha nutzt beide Kanäle parallel: BLE für Verwaltungsfunktionen, BR/EDR für das Streaming.

Das Sicherheitsproblem entsteht, weil Vendor-Specific Commands (VSCs) ungeschützt zugänglich sind, die über die Host-Controller-Interface-Schnittstelle (HCI) an den Chip gesendet werden. Dabei handelt es sich um Befehle, die vom jeweiligen Chip-Hersteller definiert werden und nicht zum offiziellen Bluetooth-Standard gehören.

VSCs dienen zur Steuerung herstellerspezifischer Funktionen, etwa für Debugging, Firmware-Updates oder interne Konfigurationen – also Funktionen, die im normalen Betrieb nicht vorkommen. In gut gesicherten Systemen kann nur autorisierte Software solche Befehle ausführen. Im Fall der Airoha-Chips jedoch fehlte jede Form der Zugangskontrolle: Die VSCs ließen sich ohne Authentifizierung aufrufen, sobald eine Bluetooth-Verbindung hergestellt war, selbst ohne vorheriges Pairing.

Den Sicherheitsforschern gelang es, über das Protokoll Kopfhörer mehrerer Hersteller vollständig aus der Ferne zu kontrollieren. Sie mussten dazu keine Verbindung über eine Hersteller-App aufbauen oder den Kopplungsprozess durchlaufen. Der direkte Zugriff auf Speicherbereiche ermöglichte es ihnen, Informationen darüber auszulesen, welche Medien gerade wiedergegeben wurden. Da sich die Speicherbelegung von Modell zu Modell unterscheidet, ließ sich der Angriff zwar nicht standardisieren, aber durch Analyse und Anpassung individuell ausführen.

Besonders kritisch: Aus dem Speicher ließ sich sogar der kryptografische Schlüssel der aktiven Bluetooth-Verbindung extrahieren. Dieser Link Key schützt normalerweise die gesamte Kommunikation zwischen zwei Bluetooth-Geräten. Gelangt er Schlüssel in fremde Hände, kann ein Angreifer die bestehende Verbindung übernehmen und sich als das ursprünglich gekoppelte Gerät ausgeben. Dadurch konnten die Forscher Telefonate annehmen oder ablehnen, Sprachassistenten wie Siri oder Google Assistant aktivieren oder sogar den Ton des Mikrofons an ein eigenes Gerät weiterleiten. In einem Szenario wurde der Kopfhörer als Mikrofon missbraucht: Der Ton wurde abgegriffen und übertragen, ohne dass das Smartphone des Nutzers noch beteiligt war.

Diese Angriffe erfordern jedoch spezialisierte Werkzeuge, detaillierte Kenntnisse des jeweiligen Gerätemodells und den physischen Zugriff innerhalb der Bluetooth-Reichweite des Opfers. Ein Angriff aus dem Internet gelingt nicht. Daher ist die Schwachstelle vor allem für gezielte Attacken auf ausgewählte Personen interessant, etwa für die Spionage gegen Politiker, Journalisten, Aktivisten oder Mitarbeitende sicherheitskritischer Organisationen.

Die Forscher vermuten über 100 betroffene Gerätetypen. Selbst wenn nur ein kleiner Anteil aller weltweit verkauften Kopfhörer anfällig ist, könnte die Schwachstelle mehrere Millionen Geräte betreffen. Apple bleibt außen vor, da originale AirPods keine Airoha-Komponenten enthalten. Allerdings setzen viele Nachbauten, insbesondere günstige Kopien aus chinesischer Fertigung, sehr wohl auf die anfälligen Chips. (jcb/jlu)