{"id":225914,"date":"2025-06-28T11:47:12","date_gmt":"2025-06-28T11:47:12","guid":{"rendered":"https:\/\/www.europesays.com\/de\/225914\/"},"modified":"2025-06-28T11:47:12","modified_gmt":"2025-06-28T11:47:12","slug":"sicherheitsrisiko-bei-bluetooth-kopfhoerern-mit-airoha-chipsatz-schwachstellen-erfordern-naehe-des-angreifers","status":"publish","type":"post","link":"https:\/\/www.europesays.com\/de\/225914\/","title":{"rendered":"Sicherheitsrisiko bei Bluetooth-Kopfh\u00f6rern mit Airoha-Chipsatz \u2013 Schwachstellen erfordern N\u00e4he des Angreifers"},"content":{"rendered":"<p class=\"post-modified-info\">28. Juni 2025<a href=\"\" target=\"_blank\" class=\"last-modified-author\"\/><\/p>\n<p data-start=\"209\" data-end=\"532\"><strong>ERNW Enno Rey Netzwerke GmbH hat mehrere Schwachstellen in Bluetooth-Kopfh\u00f6rern und -Ohrh\u00f6rern identifiziert, die auf System-on-a-Chip-L\u00f6sungen (SoCs) des Herstellers Airoha basieren. Die Erkenntnisse wurden im Rahmen der diesj\u00e4hrigen <a href=\"https:\/\/troopers.de\/troopers25\/talks\/fbnb8y\/\" rel=\"nofollow noopener\" target=\"_blank\">TROOPERS-Konferenz<\/a> vorgestellt und in einem aktuellen Blogbeitrag zusammengefasst.<\/strong><\/p>\n<p data-start=\"534\" data-end=\"833\"><a href=\"https:\/\/insinuator.net\/2025\/06\/airoha-bluetooth-security-vulnerabilities\/\" rel=\"nofollow noopener\" target=\"_blank\"><strong>Laut ERNW<\/strong> <\/a>k\u00f6nnen betroffene Ger\u00e4te kompromittiert werden, wenn sich ein Angreifer in Bluetooth-Reichweite befindet \u2013 dies sei die einzige zwingende Bedingung f\u00fcr einen erfolgreichen Angriff. Einige Medienberichte h\u00e4tten die tats\u00e4chlichen Voraussetzungen jedoch ungenau oder fehlerhaft wiedergegeben.<\/p>\n<p data-start=\"835\" data-end=\"1105\">Airoha z\u00e4hlt zu den f\u00fchrenden Anbietern von Bluetooth-SoCs und liefert neben der Hardware auch Referenzdesigns und SDKs zur Implementierung. Zahlreiche bekannte Hersteller von True-Wireless-Stereo (TWS)-Ger\u00e4ten setzen auf die Chips und Softwarel\u00f6sungen des Unternehmens.<\/p>\n<p data-start=\"1107\" data-end=\"1367\">Die von ERNW entdeckten Schwachstellen betreffen sowohl die Hardware als auch die zugeh\u00f6rige Firmware der betroffenen Produkte. Derzeit laufen bereits Patch-Prozesse zur Behebung der L\u00fccken \u2013 erste Details hierzu wurden ebenfalls auf der Konferenz vorgestellt.<\/p>\n<p data-start=\"594\" data-end=\"1149\">Nach Angaben von ERNW geben die betroffenen Ger\u00e4te ein leistungsf\u00e4higes, propriet\u00e4res Protokoll frei, das unter anderem den Lese- und Schreibzugriff auf RAM und Flash-Speicher erm\u00f6glicht. Dieses Protokoll sei f\u00fcr Angreifer ohne vorherige Kopplung \u00fcber zwei verschiedene Bluetooth-Schnittstellen erreichbar: zum einen \u00fcber BLE GATT, zum anderen \u00fcber RFCOMM auf Basis von Bluetooth Classic (BR\/EDR). Insbesondere Bluetooth Classic sei problematisch, da dort keine Authentifizierung vorausgesetzt werde, wodurch ein unautorisierter Zugriff erleichtert werde.<\/p>\n<p data-start=\"1151\" data-end=\"1326\">Der Name des betroffenen Protokolls bleibt vorerst unter Verschluss. Die Schwachstellen wurden unter folgenden CVE-Kennungen registriert, deren Ver\u00f6ffentlichung noch aussteht:<\/p>\n<ul data-start=\"1328\" data-end=\"1549\">\n<li data-start=\"1328\" data-end=\"1395\">\n<p data-start=\"1330\" data-end=\"1395\"><strong data-start=\"1330\" data-end=\"1348\">CVE-2025-20700<\/strong>: Fehlende Authentifizierung f\u00fcr GATT-Dienste<\/p>\n<\/li>\n<li data-start=\"1396\" data-end=\"1467\">\n<p data-start=\"1398\" data-end=\"1467\"><strong data-start=\"1398\" data-end=\"1416\">CVE-2025-20701<\/strong>: Fehlende Authentifizierung f\u00fcr Bluetooth BR\/EDR<\/p>\n<\/li>\n<li data-start=\"1468\" data-end=\"1549\">\n<p data-start=\"1470\" data-end=\"1549\"><strong data-start=\"1470\" data-end=\"1488\">CVE-2025-20702<\/strong>: Kritische Funktionen eines benutzerdefinierten Protokolls<\/p>\n<\/li>\n<\/ul>\n<p data-start=\"1551\" data-end=\"1659\">Eine ausf\u00fchrlichere Analyse will ERNW in einem kommenden Blogbeitrag sowie einem Whitepaper ver\u00f6ffentlichen.<\/p>\n<p data-start=\"484\" data-end=\"899\">Im Rahmen ihrer Untersuchungen hat ERNW selbst eine Reihe von Ger\u00e4ten erworben und zus\u00e4tzlich Modelle aus dem pers\u00f6nlichen Umfeld analysiert. Demnach treten die Schwachstellen sowohl bei Einsteigerger\u00e4ten als auch bei Flaggschiff-Modellen auf. Best\u00e4tigte betroffene Hersteller sind unter anderem <strong data-start=\"780\" data-end=\"796\">Beyerdynamic<\/strong>, <strong data-start=\"798\" data-end=\"810\">Marshall<\/strong> und <strong data-start=\"815\" data-end=\"823\">Sony<\/strong>. Auch viele weitere Ger\u00e4te mit Airoha-Chips gelten als potenziell anf\u00e4llig.<\/p>\n<p><strong>Betroffene Ger\u00e4te<\/strong><\/p>\n<p data-start=\"901\" data-end=\"963\">Folgende Modelle wurden von ERNW als verwundbar identifiziert:<\/p>\n<ul data-start=\"965\" data-end=\"1485\">\n<li data-start=\"965\" data-end=\"997\">\n<p data-start=\"967\" data-end=\"997\"><strong data-start=\"967\" data-end=\"983\">Beyerdynamic<\/strong>: Amiron 300<\/p>\n<\/li>\n<li data-start=\"998\" data-end=\"1032\">\n<p data-start=\"1000\" data-end=\"1032\"><strong data-start=\"1000\" data-end=\"1008\">Bose<\/strong>: QuietComfort Earbuds<\/p>\n<\/li>\n<li data-start=\"1033\" data-end=\"1076\">\n<p data-start=\"1035\" data-end=\"1076\"><strong data-start=\"1035\" data-end=\"1047\">EarisMax<\/strong>: Bluetooth Auracast Sender<\/p>\n<\/li>\n<li data-start=\"1077\" data-end=\"1106\">\n<p data-start=\"1079\" data-end=\"1106\"><strong data-start=\"1079\" data-end=\"1088\">Jabra<\/strong>: Elite 8 Active<\/p>\n<\/li>\n<li data-start=\"1107\" data-end=\"1149\">\n<p data-start=\"1109\" data-end=\"1149\"><strong data-start=\"1109\" data-end=\"1116\">JBL<\/strong>: Endurance Race 2, Live Buds 3<\/p>\n<\/li>\n<li data-start=\"1150\" data-end=\"1182\">\n<p data-start=\"1152\" data-end=\"1182\"><strong data-start=\"1152\" data-end=\"1160\">Jlab<\/strong>: Epic Air Sport ANC<\/p>\n<\/li>\n<li data-start=\"1183\" data-end=\"1265\">\n<p data-start=\"1185\" data-end=\"1265\"><strong data-start=\"1185\" data-end=\"1197\">Marshall<\/strong>: ACTON III, MAJOR V, MINOR IV, MOTIF II, STANMORE III, WOBURN III<\/p>\n<\/li>\n<li data-start=\"1266\" data-end=\"1293\">\n<p data-start=\"1268\" data-end=\"1293\"><strong data-start=\"1268\" data-end=\"1280\">MoerLabs<\/strong>: EchoBeatz<\/p>\n<\/li>\n<li data-start=\"1294\" data-end=\"1462\">\n<p data-start=\"1296\" data-end=\"1462\"><strong data-start=\"1296\" data-end=\"1304\">Sony<\/strong>: CH-720N, Link Buds S, ULT Wear, WF-1000XM3, WF-1000XM4, WF-1000XM5, WF-C500, WF-C510-GFP, WH-1000XM4, WH-1000XM5, WH-1000XM6, WH-CH520, WH-XB910N, WI-C100<\/p>\n<\/li>\n<li data-start=\"1463\" data-end=\"1485\">\n<p data-start=\"1465\" data-end=\"1485\"><strong data-start=\"1465\" data-end=\"1475\">Teufel<\/strong>: Tatws2<\/p>\n<\/li>\n<\/ul>\n<p data-start=\"1487\" data-end=\"1842\">Diese Liste sei nicht abschlie\u00dfend, betont ERNW. Zudem seien nicht alle Ger\u00e4te gleicherma\u00dfen betroffen \u2013 manche wiesen nur einzelne der identifizierten Schwachstellen auf. Mindestens ein Hersteller habe offenbar bereits Ma\u00dfnahmen gegen zwei der Schwachstellen (CVE-2025-20700 und CVE-2025-20701) umgesetzt \u2013 ob absichtlich oder unbeabsichtigt, ist unklar.<\/p>\n<p data-start=\"1844\" data-end=\"2181\"><strong>Ein weiteres Problem:<\/strong> Einige Hersteller seien sich gar nicht bewusst, dass in ihren Ger\u00e4ten ein Airoha-SoC verbaut ist. Teile der Entwicklung, etwa das Bluetooth-Modul, w\u00fcrden h\u00e4ufig an Dritte ausgelagert. Betroffene Hersteller, die unsicher sind, ob ihre Produkte verwundbar sind, k\u00f6nnen sich laut ERNW direkt an das Unternehmen wenden.<\/p>\n<p><strong>Auswirkungen der Sicherheitsl\u00fccke<\/strong><\/p>\n<p><strong>In den meisten F\u00e4llen erm\u00f6glichen diese Sicherheitsl\u00fccken Angreifern, die Kopfh\u00f6rer \u00fcber Bluetooth vollst\u00e4ndig zu \u00fcbernehmen.<\/strong> Es ist keine Authentifizierung oder Kopplung erforderlich. Die Sicherheitsl\u00fccken k\u00f6nnen \u00fcber Bluetooth BR\/EDR oder Bluetooth Low Energy (BLE) ausgel\u00f6st werden. Die einzige Voraussetzung ist, dass sich das Ger\u00e4t in Bluetooth-Reichweite befindet. Es ist m\u00f6glich, den RAM- und Flash-Speicher des Ger\u00e4ts zu lesen und zu beschreiben. Diese Funktionen erm\u00f6glichen es Angreifern auch, etablierte Vertrauensbeziehungen zu anderen Ger\u00e4ten, wie z. B. dem mit den Kopfh\u00f6rern gekoppelten Telefon, zu kapern. Diese Funktionen erm\u00f6glichen mehrere Angriffsszenarien. Einige Beispiele werden im Folgenden kurz beschrieben.<\/p>\n<p><strong>Speicher lesen: Aktuelle Wiedergabe<\/strong><\/p>\n<p>Ein von uns durchgef\u00fchrter Angriff bestand darin, die aktuell \u00fcber die Kopfh\u00f6rer wiedergegebenen Medien \u00fcber RAM-Lese-Befehle auszulesen. Dies ist ein einfaches Beispiel f\u00fcr die RAM-Lesefunktion. Dieser Angriff muss jedoch f\u00fcr jedes Kopfh\u00f6rermodell und jede Firmware-Version einzeln durchgef\u00fchrt werden, da sich die Speicheradressen in verschiedenen Firmware-Versionen unterscheiden.<\/p>\n<p>Ein Beispiel f\u00fcr den Angriff ist unten dargestellt:<\/p>\n<p><a href=\"https:\/\/www.europesays.com\/de\/wp-content\/uploads\/2025\/06\/image_aura_c-768x225-1.png\"><img fetchpriority=\"high\" decoding=\"async\" class=\"alignnone wp-image-39996 \" src=\"https:\/\/www.europesays.com\/de\/wp-content\/uploads\/2025\/06\/image_aura_c-768x225-1.png\" alt=\"\" width=\"1044\" height=\"306\"  \/><\/a><\/p>\n<p>Medien-Info ausnutzen \/ Quelle: <strong>ERNW <\/strong><\/p>\n<p><strong data-start=\"116\" data-end=\"193\">Abh\u00f6ren und Wurmf\u00e4higkeit: Weitere Risiken durch Bluetooth-Schwachstellen<\/strong><\/p>\n<p data-start=\"195\" data-end=\"878\">Die von ERNW identifizierten Schwachstellen er\u00f6ffnen mehrere Szenarien f\u00fcr das Abh\u00f6ren von Gespr\u00e4chen. Der einfachste Angriffsweg nutzt eine fehlerhafte Bluetooth-BR\/EDR-Kopplung. Den Forschern zufolge ist es m\u00f6glich, \u00fcber das Bluetooth-Freisprechprofil (HFP) eine Verbindung zu einem betroffenen Ger\u00e4t herzustellen und auf das Mikrofon zuzugreifen \u2013 etwa um aufzuzeichnen, was gerade gesprochen wird. Da betroffene Kopfh\u00f6rer in der Regel nur eine Audioverbindung gleichzeitig zulassen, werden bestehende Verbindungen beim Angriff getrennt, was diesen nicht unbemerkt macht. Ein unauff\u00e4lliger Angriff ist nur m\u00f6glich, wenn das Ger\u00e4t zwar eingeschaltet, aber nicht aktiv genutzt wird.<\/p>\n<p data-start=\"880\" data-end=\"1362\"><strong>Ein weiteres Abh\u00f6rszenario ergibt sich durch das Ausnutzen bestehender Vertrauensbeziehungen zwischen gekoppelten Bluetooth-Ger\u00e4ten.<\/strong> Wird ein Kopfh\u00f6rer beispielsweise mit einem Smartphone gekoppelt, vertraut das Telefon diesem Ger\u00e4t. Ein Angreifer, der sich als der Kopfh\u00f6rer ausgibt, kann diese Verbindung missbrauchen \u2013 etwa durch die Nutzung des HFP-Profils zur Steuerung des Telefons. Je nach Betriebssystem k\u00f6nnen so unter anderem Anrufe initiiert oder entgegengenommen werden.<\/p>\n<p data-start=\"1364\" data-end=\"1767\">ERNW demonstrierte eine komplette Angriffskette, beginnend mit der Extraktion der Bluetooth-Schl\u00fcssel aus dem Flash-Speicher der Kopfh\u00f6rer. Diese Schl\u00fcssel wurden genutzt, um sich gegen\u00fcber einem zuvor gekoppelten Telefon als das Originalger\u00e4t auszugeben und einen Anruf auszul\u00f6sen. Unter den richtigen Bedingungen konnten auf diese Weise Gespr\u00e4che oder Ger\u00e4usche im Umfeld des Telefons abgeh\u00f6rt werden.<\/p>\n<p data-start=\"1769\" data-end=\"2033\"><strong>Auch der Zugriff auf pers\u00f6nliche Daten ist m\u00f6glich:<\/strong> \u00dcblicherweise lassen sich \u00fcber eine Bluetooth-Verbindung die eigene Telefonnummer sowie Nummern eingehender Anrufe abrufen. Je nach Ger\u00e4tekonfiguration sind zudem Anruflisten oder gespeicherte Kontakte einsehbar.<\/p>\n<p data-start=\"2035\" data-end=\"2339\"><strong>Dar\u00fcber hinaus erm\u00f6glichen die Schwachstellen einen sogenannten wurmf\u00e4higen Exploit.<\/strong> Da Ger\u00e4te anhand ihrer GATT-Dienste identifiziert werden k\u00f6nnen und es m\u00f6glich ist, Firmware zu \u00fcberschreiben und eigenen Code auszuf\u00fchren, besteht prinzipiell das Potenzial zur automatisierten Verbreitung des Angriffs.<\/p>\n<p><strong>Was nun? Muss ich in Panik geraten?<\/strong><\/p>\n<p><strong>Ist das also ernst?<\/strong><\/p>\n<p><strong>Ja \u2013 technisch gesehen ist es ernst.<\/strong> In unserem Labor gibt es einen Proof-of-Concept. Ob dies jedoch f\u00fcr Sie als normaler Verbraucher praktisch gef\u00e4hrlich ist, h\u00e4ngt noch von mehreren Faktoren ab. Denn dies ist nur technisch m\u00f6glich, wenn alle Bedingungen erf\u00fcllt sind. Echte Angriffe sind komplex und k\u00f6nnen nicht \u00fcber das Internet oder zuf\u00e4llig durchgef\u00fchrt werden. Ein Angriff w\u00fcrde Folgendes erfordern:<\/p>\n<ul>\n<li>Der Angreifer muss sich in Ihrer unmittelbaren N\u00e4he befinden (innerhalb von ~10 Metern). Bluetooth funktioniert nur \u00fcber kurze Entfernungen. Um die Schwachstelle auszunutzen, muss sich der Angreifer in Ihrer N\u00e4he befinden, beispielsweise im selben Raum, Caf\u00e9 oder Bus. Dies ist die einzige technische Voraussetzung.<\/li>\n<li>Mehrere technische Schritte m\u00fcssen perfekt und unbemerkt ausgef\u00fchrt werden, was hohe technische Kenntnisse erfordert.<\/li>\n<\/ul>\n<p><strong>Ja<\/strong> \u2013 die Vorstellung, dass jemand Ihre Kopfh\u00f6rer kapern, sich gegen\u00fcber Ihrem Telefon als Sie ausgeben und m\u00f6glicherweise Anrufe t\u00e4tigen oder Sie ausspionieren k\u00f6nnte, klingt ziemlich beunruhigend. Aber diese Art von Angriff ist nur f\u00fcr hochkar\u00e4tige Ziele sinnvoll:<\/p>\n<ul>\n<li>Journalisten, Diplomaten, politische Dissidenten<\/li>\n<li>Personen in sensiblen Branchen<\/li>\n<li>VIPs unter Beobachtung<\/li>\n<\/ul>\n<p>Die meisten Menschen fallen nicht in diese Kategorien \u2013 <strong>Sie sind also wahrscheinlich kein Ziel.<\/strong> Personen in diesen Kategorien wird generell empfohlen, keine Bluetooth-Kopfh\u00f6rer zu verwenden. Wenn Sie sich gef\u00e4hrdet f\u00fchlen und warten m\u00f6chten, bis ein Patch verf\u00fcgbar ist, bevor Sie Ihre Kopfh\u00f6rer wieder verwenden, stellen Sie bitte sicher, dass Sie die Kopplung zwischen den Kopfh\u00f6rern und Ihrem Mobiltelefon aufheben.<\/p>\n<p><a href=\"https:\/\/insinuator.net\/about\/\" rel=\"nofollow noopener\" target=\"_blank\"><strong>Quelle: ERNW Enno Rey Netzwerke GmbH<\/strong><\/a><\/p>\n","protected":false},"excerpt":{"rendered":"28. Juni 2025 ERNW Enno Rey Netzwerke GmbH hat mehrere Schwachstellen in Bluetooth-Kopfh\u00f6rern und -Ohrh\u00f6rern identifiziert, die auf&hellip;\n","protected":false},"author":2,"featured_media":225915,"comment_status":"","ping_status":"","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[135],"tags":[29,30,190,189,194,191,193,192],"class_list":{"0":"post-225914","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-wissenschaft-technik","8":"tag-deutschland","9":"tag-germany","10":"tag-science","11":"tag-science-technology","12":"tag-technik","13":"tag-technology","14":"tag-wissenschaft","15":"tag-wissenschaft-technik"},"share_on_mastodon":{"url":"","error":""},"_links":{"self":[{"href":"https:\/\/www.europesays.com\/de\/wp-json\/wp\/v2\/posts\/225914","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.europesays.com\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.europesays.com\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.europesays.com\/de\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.europesays.com\/de\/wp-json\/wp\/v2\/comments?post=225914"}],"version-history":[{"count":0,"href":"https:\/\/www.europesays.com\/de\/wp-json\/wp\/v2\/posts\/225914\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.europesays.com\/de\/wp-json\/wp\/v2\/media\/225915"}],"wp:attachment":[{"href":"https:\/\/www.europesays.com\/de\/wp-json\/wp\/v2\/media?parent=225914"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.europesays.com\/de\/wp-json\/wp\/v2\/categories?post=225914"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.europesays.com\/de\/wp-json\/wp\/v2\/tags?post=225914"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}