Hacking von Bluetooth-Kopfhörern: Ein neuer Weg, in Smartphones einzudringen

 (media.ccc.de)
16 Punkte von GN⁺ 2026-01-02 | 1 Kommentare | Auf WhatsApp teilen
  • Über Schwachstellen in Bluetooth-Audio-Chips können Kopfhörer vollständig kompromittiert werden, wodurch sich der Angriffsweg sogar auf verbundene Smartphones ausweiten kann
  • Betroffen sind nachweislich Kopfhörer/Ohrhörer großer Marken wie Sony, Marshall, Jabra
  • In dem in den Produkten verwendeten Bluetooth-Audio-SoC von Airoha wurden drei Schwachstellen entdeckt: CVE-2025-20700, CVE-2025-20701, CVE-2025-20702
  • Ausgenutzt wird, dass Kopfhörer vertrauenswürdige Bluetooth-Peripheriegeräte sind; über das benutzerdefinierte Bluetooth-Protokoll RACE, das Firmware- und Speicherzugriff erlaubt, wurde die Möglichkeit von Angriffen auf Smartphones nachgewiesen
  • Es wird davor gewarnt, dass die Sicherheit von Bluetooth-Peripheriegeräten zu einer neuen Schwachstelle der Smartphone-Sicherheit werden könnte

Überblick über die Schwachstellen in Airoha-Chips

  • Das Forschungsteam entdeckte in weit verbreiteten Bluetooth-Audio-Chips von Airoha drei Schwachstellen: CVE-2025-20700, CVE-2025-20701, CVE-2025-20702
    • Diese Chips werden in Bluetooth-Kopfhörern und Ohrhörern vieler Hersteller häufig eingesetzt
  • Die Schwachstellen können eine vollständige Übernahme des Geräts ermöglichen; in der Demonstration wurde mit Kopfhörern der neuesten Generation die unmittelbare Auswirkung gezeigt
  • Angreifer können vertrauenswürdige, gekoppelte Geräte wie Smartphones als Ziele für Folgeangriffe auswählen

Das RACE-Protokoll und Firmware-Zugriff

  • Im Verlauf der Untersuchung wurde ein leistungsfähiges benutzerdefiniertes Bluetooth-Protokoll namens RACE entdeckt
    • Dieses Protokoll bietet Funktionen zum Lesen und Schreiben von Daten in Flash und RAM der Kopfhörer
  • Dadurch eröffnet sich die Möglichkeit, Firmware auszulesen, zu verändern oder anzupassen
    • Über so infizierte Bluetooth-Kopfhörer sind Angriffe auf gekoppelte Smartphones möglich
    • Bei Diebstahl des Bluetooth-Link Key ist eine Imitation des Peripheriegeräts möglich
    • Schon die Struktur, in der Smartphones Peripheriegeräten vertrauen, wirkt selbst als Angriffsvektor
  • Die Forschenden haben diese Funktion genutzt, um eine Grundlage für Sicherheitspatches und weiterführende Forschung zu schaffen

Betroffene Hersteller und Produkte

  • Als betroffene Geräte werden Sony (WH1000-XM5, WH1000-XM6, WF-1000XM5), Marshall (Major V, Minor IV), Beyerdynamic (AMIRON 300) und Jabra (Elite 8 Active) genannt
  • Airoha ist ein Anbieter von Bluetooth-SoCs sowie Referenzdesigns und SDKs
    • Viele bekannte Audiomarken entwickeln ihre Produkte auf Basis von Airoha-SoCs und SDKs
    • Besonders im Markt für TWS (True Wireless Stereo) verfügt das Unternehmen über einen hohen Marktanteil

Nutzerwahrnehmung und Probleme bei Sicherheitsupdates

  • Die Forschenden kritisieren, dass einige Hersteller Nutzer nicht ausreichend über Schwachstellen und Sicherheitsupdates informiert haben
  • Ziel der Veröffentlichung ist es, Nutzer auf das Problem aufmerksam zu machen und technische Details offenzulegen, damit Forschende die Sicherheitsforschung zu Airoha-basierten Geräten fortsetzen können
  • Zusammen mit dem Vortrag wurden ein Tool zur Prüfung, ob Geräte betroffen sind, sowie Analysetools für Forschende veröffentlicht

Allgemeine Auswirkungen auf die Sicherheit von Bluetooth-Peripheriegeräten

  • Da die Sicherheit von Smartphones zunimmt, könnten Angreifer ihren Fokus auf Peripheriegeräte wie Kopfhörer und Ohrhörer verlagern
  • Wird der Bluetooth Link Key gestohlen, können Angreifer Peripheriegeräte vortäuschen und auf Smartphone-Funktionen zugreifen
  • Deshalb sind eine stärkere Absicherung von Bluetooth-Peripheriegeräten und ein konsequentes Schwachstellenmanagement wichtig

Verwandte Beiträge

1 Kommentare

 
GN⁺ 2026-01-02
Hacker-News-Kommentare

  • Ich freue mich, dass dieser Beitrag endlich Aufmerksamkeit bekommt.
    Das wurde kürzlich auf dem 39C3 in Hamburg vorgestellt: Gängige Bluetooth-Headsets mit Airoha-SoC lassen sich allein mit einem Linux-Laptop und ohne Authentifizierung vollständig übernehmen (CVE-2025-20700~20702).
    Zugriff ist auf Firmware-Dumps, Benutzereinstellungen, Sitzungsschlüssel und sogar den aktuell abgespielten Track möglich.
    Betroffene Marken sind unter anderem Sony (WH1000-XM5/XM6, WF-1000XM5), Marshall (Major V, Minor IV), Beyerdynamic (AMIRON 300) und Jabra (Elite 8 Active).
    Die meisten Hersteller haben nur langsam reagiert, Jabra war hier eine bemerkenswerte Ausnahme.
    Interessant ist, dass trotz dieser Schwachstelle das Bluetooth-LE-„RACE“-Protokoll von Airoha vermutlich weiter genutzt wird.
    Dadurch bekommen Linux-Nutzer die Chance, ihre Headsets deutlich feiner zu steuern.
    Zum Beispiel könnte man beim Stummschalten automatisch auf die „hearthrough“-Funktion umschalten.
    Zugehöriges Tool: RACE Reverse Engineered - CLI Tool
    Ich denke, dass ein solches Niveau an Remote-Audioüberwachung sogar auf Ebene der nationalen Sicherheit behandelt werden sollte.

    • Ich bin einer der Forscher.
      Viele Menschen bevorzugen Text gegenüber Videos, deshalb hinterlasse ich hier das zugehörige Material.
      Blog: Bluetooth Headphone Jacking - Full Disclosure
      Whitepaper: ERNW Publications
    • Sony hat zwar keine offizielle Mitteilung veröffentlicht, aber Nutzer der App haben vermutlich Benachrichtigungen zu einem still ausgerollten Firmware-Update erhalten.
      Die meisten Hersteller verwenden eigene UUID-Dienste zur Steuerung der Einstellungen.
      Für Android gibt es offene Clients wie Gadgetbridge, aber für Linux kenne ich nichts Vergleichbares.
    • Ich schaue mir technische Videos auch kaum an und stimme daher fast nie für YouTube-Links.
    • Wenn sich auch Audio abspielen ließe, wäre das wohl ein Traum für Spaßvögel.
      Dass Jabra schnell reagiert hat, überrascht mich nicht. Das Unternehmen ist stärker auf den Enterprise-Markt ausgerichtet und daher sicherheitsbewusster.
      Sony ist inzwischen eher eine Consumer-Marke, daher wirkt die Reaktion langsamer.
    • Es gibt bereits Apps, die das Kommunikationsprotokoll der AirPods rückentwickelt haben.
      Nämlich AndroPods aus dem Jahr 2020 und LibrePods aus dem Jahr 2024.
      Wegen eines Bluetooth-Stack-Bugs in Android lassen sich Befehle ohne Root-Rechte allerdings nicht ausführen.
      Zugehöriges Issue: Google Issue Tracker

  • Als OpenBSD sagte, dass es Bluetooth nicht entwickeln werde, waren alle verärgert, aber rückblickend war das eine kluge Entscheidung.
    Bluetooth ist ein komplexer und schlampiger Standard, und selbst Premium-Geräte wie die Sony WH1000 sind keine Ausnahme.
    Ich nutze selbst AirPods Pro und WH1000-XM5, wusste aber immer, dass Bluetooth letztlich nur aus „Hack über Hack“ besteht.
    Es gibt kaum Möglichkeiten, den internen Zustand einzusehen; nicht einmal die Signalstärke wird angezeigt.

    • Das ist kein Problem von Bluetooth selbst, sondern liegt daran, dass der Airoha-Chipsatz mit einer Debug-Schnittstelle ausgeliefert wurde, über die sich der SoC-Speicher ohne Authentifizierung auslesen lässt.
      Angeblich funktionierte nicht einmal die Sicherheits-E-Mail-Adresse.
    • Vielleicht wäre es besser, Audio stattdessen über Wi‑Fi zu übertragen.
      Das wäre eine Sorge weniger.
    • Eine Kabelverbindung ist manchmal nur eine kleine Unannehmlichkeit, bei externen Monitoren oder Tastaturen aber ziemlich lästig.
    • Die Formulierung „alle haben OpenBSD verlassen“ ist übertrieben. Es gibt auch Leute wie mich, die es weiterhin nutzen.
    • Man könnte dann genauso gut scherzhaft fragen, ob man auch USB verbieten müsste, denn Angriffsvektoren gibt es überall.

  • Ich habe die Schritte aus dem Whitepaper mit der neuesten Firmware der Sony WH-1000XM4 nachvollzogen, aber entweder kam keine Antwort auf die Befehle oder es wurde ein Fehler zurückgegeben.
    Ganz sicher bin ich nicht, aber es scheint gepatcht zu sein.

  • Kurz gesagt: Headsets mehrerer Hersteller sind sowohl über Bluetooth Classic als auch über BLE angreifbar.
    Sie verwenden das RACE-Protokoll, das ohne Authentifizierung funktioniert und Speicher-Dumps sowie das Stehlen von Schlüsseln ermöglicht.
    Mit diesen Schlüsseln kann ein Angreifer das Gerät als gefälschtes Headset ausgeben und so auf das Smartphone zugreifen.
    Auch das Annehmen von Anrufen oder das Abhören des Mikrofons ist möglich, was sogar zur Umgehung von Zwei-Faktor-Authentifizierung führen kann.
    Die einzige Gegenmaßnahme besteht darin, betroffene Geräte nicht zu verwenden oder Bluetooth auszuschalten.
    Ich frage mich, ob Auto-Chipsätze das gleiche Problem haben.

  • Letztlich war es Apple, das den 3,5-mm-Klinkenanschluss abgeschafft hat. Die offizielle Begründung war „Wasserdichtigkeit“.

    • Als Apple „Mut (courage)“ als Grund nannte, haben alle gelacht, aber am Ende sind andere Hersteller ebenfalls gefolgt.
      Inzwischen ist es schwer, High-End-Smartphones mit Klinkenanschluss zu finden.
    • Tatsächlich gibt es auch unter wasserdichten Smartphones viele mit Klinkenanschluss.
    • Apple nannte Platzersparnis und eine langfristige Strategie als Gründe.
      Stattdessen ist das Ökosystem für USB-C-Kopfhörer gewachsen, und hochwertige DAC-Dongles wurden zu einer Alternative.
      Zugehörige Liste: USB-C Headphones
    • Heutzutage sieht man kaum noch Menschen mit kabelgebundenen Ohrhörern. Das wirkt fast wie jemand, der nur auf CDs beharrt.

  • Ich habe das Video noch nicht gesehen, aber schon die Formulierung auf der Seite zeigt, dass es sich um eine Schwachstelle auf dem Niveau einer vollständigen Geräteübernahme handelt.
    Besonders eindrucksvoll ist, dass Angreifer über die Kopfhörer sogar das Smartphone angreifen können.
    Die Präsentation behandelt den Überblick über die Schwachstelle, ihre Auswirkungen, die Schwierigkeiten beim Patchen und sogar die Veröffentlichung eines Tools zur Firmware-Modifikation.

    • Betrachtet man die zusammengefassten Angriffsschritte:
      1. Verbindung aus der Nähe herstellen
      2. Speicher ohne Authentifizierung dumpen
      3. Aus dem Dump den Bluetooth Link Key extrahieren
      4. Mit dem extrahierten Schlüssel als gefälschtes Headset mit dem Smartphone verbinden
        Danach kann der Angreifer das Smartphone mit den Rechten eines vertrauenswürdigen Peripheriegeräts steuern.
        Quelle: HN-Kommentar

  • Razer wird nicht erwähnt, verwendet aber im Blackshark V3 Pro Transmitter den Chip Airoha AB1571DN.
    Auf der Headset-Seite ist das unklar, und ein Firmware-Update-Verlauf ist schwer zu finden.

  • Vizepräsidentin Kamala Harris sagte kürzlich in einem Interview, „kabellose Ohrhörer sind nicht sicher“.
    Videolink

    • Das ist nicht politisch gemeint, aber ich vertraue Harris’ Aussagen nicht.
      Bluetooth ist von Natur aus eine wenig sichere Technologie, und die meisten Implementierungen sind schlampig.
      Referenzvideo: YouTube-Link
    • Die allgemeine Bluetooth-Sicherheit ist schwach.
      Für Nutzer ist es schwer, die Sicherheit einer Verbindung zu überprüfen, und PIN-basierte Authentifizierung ist ebenfalls unpraktisch.
      Zugehörige Arbeit: arXiv-Paper
    • Harris sprach wohl nicht von einer konkreten Schwachstelle, sondern von einer politischen Maßnahme aus dem Bewusstsein für solche potenziellen Risiken heraus.
    • Diese Schwachstelle scheint bereits etwa im Juni veröffentlicht worden zu sein; ich frage mich, ob das Interview davor stattfand.

  • Schade, dass Leute die Demo gestört haben, indem sie mit Telefonnummern Scherzanrufe ausgelöst haben.

  • Durch diese Präsentation könnten sich einige staatliche Stellen unwohl fühlen.

    • Andererseits könnten manche Staaten darüber auch erfreut sein — je nachdem, wer von dieser Schwachstelle wusste.