Durch eine Lücke im Bluetooth-Chip lassen sich Kopfhörer beliebter Hersteller kapern. Angreifer können nicht nur Musik und Telefonate mithören – sondern sie auch als Wanze nutzen.

Für viele Menschen sind sie aus dem Alltag kaum noch wegzudenken: Bluetooth-Kopfhörer sorgen für guten Sound beim Sport, für Ruhe im Büro und erlauben Telefonate, ohne das Gerät am Ohr zu haben. Doch viele der kleinen Begleiter lassen sich auch für ganz andere Zwecke nutzen, wie zwei deutsche Experten herausfanden.

Dazu mussten die Mitarbeiter des Computersicherheitsdienstes ERNW, Dennis Heinze und Frieder Steinmetz, nicht mal Zugriff auf die Kopfhörer haben, wie sie in einem Blogpost erklären. Es genüge, in Bluetooth-Reichweite zu sein. In einem realistischen Szenario können das je nach Gerät mehr als 20 Meter sein. Einmal gekapert, konnten sie die Kopfhörer als Wanze benutzen, Anrufe mithören und sogar die KI-Assistenten des Smartphones einschalten – für die Opfer unbemerkt.

Angriff über Bluetooth

Schuld ist eine Lücke in einem Bluetooth-Chip des in Taiwan sitzenden Zulieferers Airoha. Der Chip wird vor allem in True-Wireless-Kopfhörern verbaut, darunter Modelle von beliebten Herstellern wie JBL, Bose, Sony und Marshall. Für einige Zusatzfunktionen hat Airoha ein eigenes Protokoll entwickelt, das auf den Chips läuft. Genau dieses Protokoll lässt sich missbrauchen, um heimlich auf die Geräte zuzugreifen. 

Die Lücke erlaube es, sich einfach mit den Kopfhörern zu verbinden, ohne die sonst dafür nötige Autorisierung, das sogenannte Pairing, durchzuführen, erklären ihre Entdecker. Sobald die Fachleute Zugriff auf den Kopfhörer hatten, konnten sie darüber laufende Daten auslesen, etwa die abgespielte Musik oder auf Android-Smartphones auch Telefonnummern von Anrufern.

Das war längst nicht alles: Der Kopfhörer speicherte die Zugangsschlüssel für die Verbindung mit dem Smartphone abrufbar ab. Jetzt standen ihnen quasi alle Türen offen. Aus der Ferne konnten sie Anrufe abhören, Sprachassistenten wie Siri oder Gemini starten und sogar den Ton des Mikrofons live an ein anderes Gerät überleiten – den Kopfhörer also zur Wanze machen. Zumindest Letzteres könnte den Betroffenen aber auffallen: Weil Bluetooth-Kopfhörer in der Regel nur eine Koppelung erlauben, lässt die Verbindung beim Opfer in der Regel die Musikwiedergabe oder etwaige Anrufe abbrechen.

Bluetooth-Kopfhörer: Wie groß ist die Gefahr wirklich?

Obwohl der Airoha-Chip auch in beliebten Kopfhörern verbaut wird, ist das Ausmaß des Problems nur schwer einzuschätzen. Die Kopfhörer der betroffenen Marken werden zwar Millionenfach verkauft, weil sie aber auch Bauteile anderer Zulieferer verwenden, lässt sich nicht ohne Weiteres nachvollziehen, wie viele und welche Geräte tatsächlich betroffen sind. Wäre nur ein Prozent der von den Herstellern angebotenen Kopfhörer betroffen, wären dies schon mehr als drei Millionen Geräte. Für Apple, mit fast 20 Prozent Marktanteil der größte Kopfhörerhersteller der Welt, gilt das aber nicht. 

Sorgen müssen sich Besitzer betroffener Kopfhörer nach Ansicht der Sicherheitsforscher wohl nur in Ausnahmefällen machen. Der Angriff funktioniere nur in physischer Nähe zum Opfer, über das Internet ließe er sich nicht ausführen, beruhigen die Experten. Zudem ist er technisch anspruchsvoll. Damit ist er vor allem für Angreifer interessant, die ganz gezielt einzelne Personen belauschen oder ausspionieren wollen. Das dürfte aber in erster Linie Personen betreffen, bei denen besonders wertvolle oder kritische Informationen vermutet werden. Die Forscher nennen Prominente, Journalisten oder Diplomaten als mögliche Ziele.

Hersteller Airoha bewertet die Lücke wegen der Komplexität des Angriffs deshalb auch als weniger kritisch als die Sicherheitsexperten. Obwohl die Forscher die Lücke bereits im März an Airoha meldeten, wurde erst Anfang Juni ein Sicherheits-Update angeboten. Ob und wann das auch von den Kopfhörer-Herstellern an die Kunden weitergegeben wird, ist bislang nicht klar.

Quellen: ERNW, Heise