Durch eine Schwachstelle in einem Chip, den zahlreiche Hersteller von Bluetooth-Kopfhörern wie Sony, Bose, Marshall und JBL nutzen, können Angreifer die Geräte via Bluetooth kapern, berichtet die Zeit. Entdeckt wurde die Sicherheitslücke von IT-Sicherheitsforschern des deutschen Unternehmens ERNW.

Der betroffene Bluetooth-Chip stammt von dem taiwanischen Unternehmen Airoha. Es handelt sich um einen Zulieferer, dessen Produkte zahlreiche Marken wie die genannten Sony, Bose, Marshall und JBL nutzen. Die Schwachstelle befand sich nun in dem Protokoll, das regelt, wer auf bestimmte Funktionen des Chips zugreifen kann. Das ist der Analyse von ERNW zufolge „viel zu mächtig“ und sei nicht abgesichert. Unbefugte können laut dem Zeit-Bericht daher auf Funktionen zugreifen, die eigentlich nur Entwicklern vorbehalten sind.

Über Kopfhörer-Schwachstelle das Smartphone steuern

Die Konsequenz: Wenn Angreifer sich in Bluetooth-Reichweite befinden, können sie auf die Kopfhörer zugreifen, ohne sich authentifizieren zu müssen. Damit lässt sich dann der Speicher der Kopfhörer auslesen, und es ist auch möglich, in ihn zu schreiben. Weil im Speicher auch die „Link Keys“ liegen, mit denen sich Bluetooth-Geräte beim Koppeln authentifizieren, können Angreifer auch auf mit dem Kopfhörer verbundene Geräte zugreifen.

Damit kommen dann auch Smartphones ins Spiel. Funktionen, die sich etwa über Sprachassistenten bedienen lassen, können damit auch die Angreifer nutzen. Den Sicherheitsforschern gelang es etwa, über Siri auf diese Weise eine Nachricht zu versenden. Möglich ist aber auch der Zugriff auf Inhalte, heißt es in dem Zeit-Bericht. Angreifer könnten etwa Notiz-Apps oder Adressbücher auslesen. Was genau geht, hängt davon ab, wie viel Zugriffsmöglichkeiten ein Sprachassistent hat. Ein aktueller Trend verschärft das Problem: Je mehr sich ein Gerät über KI-Eingaben steuern lässt, desto weitreichender sind die Angriffsmöglichkeiten.

Angreifer müssen sich in Bluetooth-Reichweite befinden

Das Ausnutzen der Lücke ist aber nicht ganz einfach. Zunächst: Ein Angreifer muss sich in Bluetooth-Reichweite einer Person befinden, außerhalb lässt sich die Schwachstelle nicht ausnutzen. Züge oder andere öffentliche Räume wären aber als Angriffsszenario geeignet. Was den Angriff ebenfalls erschwert: Wenn man beispielsweise über Siri eine Nachricht versendet, wird diese in der Regel auch auf dem Bildschirm angezeigt. Es ist also nicht trivial, einen solchen Zugriff vor dem Nutzer zu verbergen.

Laut ERNW sei technisch hingegen nicht allzu komplex, die Sicherheitslücke auszunutzen. „Wenn man nichts vorbereitet hat, kann man mit unseren Proof-of-Concept-Tools innerhalb von 15 Minuten eine bisher unbekannte Person mit unbekanntem Gerät abhören", sagte ERNW-Geschäftsführer Michael Schaefer der Zeit. Auf konkrete Zielpersonen müsse man sich zudem nicht vorbereiten, die Technologie sei massentauglich. Airoha spricht hingegen auf Anfrage der Zeit von „hohen technischen Fähigkeiten“, die erforderlich seien.

Airoha hat bereits im Juni ein Update bereitgestellt, das die Hersteller der Kopfhörer einspielen können, um das Protokoll abzusichern. Bei den Nutzern ist es aber laut dem Zeit-Bericht noch nicht angekommen, das Verteilen des Updates an die Kopfhörer-Modelle sei komplex, weil es im Prinzip nur über die Kopfhörer-Apps auf den Smartphones möglich ist. Wer diese aber nicht installiert hat, sondern die Geräte einfach nur koppelt, erhält das Update nicht.

Millionen Geräte bleiben daher ungeschützt. Betroffen sind demnach entsprechend viele Nutzer. Eine Liste mit Modellen bietet ERNW, vollständig sei diese laut dem Sicherheitsunternehmen aber nicht. Das Problem besteht darin, dass sich nicht systematisch erfassen lässt, welche Anbieter die Chips verwenden. Selbst Airoha könne das nicht abschließend klären. So würden die Chips etwa auch von Zwischenhändlern vertrieben.

Ob große Hersteller wie Sony, Bose, Marshall und JBL das Update bereits installiert haben, lässt sich nicht sagen. Auf Anfrage der Zeit antworteten diese nicht.