Sicherheitsforscher haben eine Sicherheitslücke in Bluetooth-Kopfhörern entdeckt, über die Angreifer die Geräte und ihre Besitzer unter Umständen abhören können. Wer ist betroffen? Was kann man tun?
Wegen einer kritischen Schwachstelle in bestimmten Bluetooth-Chips, könnten Angreifer viele kabellose Kopfhörer aus der Ferne übernehmen, darauf Anrufe starten oder Gespräche belauschen, berichtet das Fachportal "Heise online".
Entdeckt hatten die Sicherheitslücke Forscher des Heidelberger Sicherheitsunternehmens ERNW. Die Experten weisen aber auch darauf hin, dass die Zielgruppe für solche Attacken sehr überschaubar sei.
Mehr als 100 Kopfhörer-Modelle könnten betroffen sein
Wie viele Geräte genau betroffen sind, ist den Angaben zufolge derzeit unklar. Die Experten schätzen, dass der von Airoha in Taiwan produzierte Bluetooth-Chip mit der Sicherheitslücke in mehr als 100 verschiedenen Modellen stecken könnte.
Bekannt seien derzeit diverse betroffene Modelle von zehn Herstellern, darunter Sony, JBL, Marshall, Bose, Jabra oder Teufel. Apples Airpods seien nicht dabei. Eine Liste bekannter betroffener Modelle ist auf der ERNW-Webseite zu finden. Vielfach handelt es sich um In-Ear-Kopfhörer (True Wireless).
Angriffe sind möglich, aber nur bei sehr wenigen wahrscheinlich
Die Sicherheitsforscher erklären, dass für einen erfolgreichen Angriff mehrere Bedingungen erfüllt sein müssten; vor allem müssen sich die Angreifer in Bluetooth-Reichweite befinden. Ein Angriff über das Internet sei nicht möglich.
Dennoch könnten insbesondere Menschen mit einem besonderen Schutzbedürfnis ins Visier von Angreifern geraten: Prominente, Diplomaten, politische Dissidenten, Journalisten oder Menschen, die in sensiblen Branchen arbeiten.
Firmware-Updates für betroffene Kopfhörer stehen aus
Die Kopfhörer-Hersteller haben das Problem "Heise online" zufolge bislang nicht behoben. Obwohl die ERNW-Forscher die Unternehmen bereits Ende März informiert hätten, gebe es bis heute keine Firmware-Updates oder auch nur Informationen zu möglichen Updates, die das Problem beheben.
Besitzerinnen und Besitzer von Bluetooth-Kopfhörern, insbesondere alle, die ihr Modell auf der Liste gefunden haben, sollten ein Auge auf mögliche Aktualisierungen haben. Diese werden in der Regel in der Kopfhörer-App des jeweiligen Herstellers angezeigt oder angeboten.
Airoha hat den Kopfhörer-Herstellern am 4. Juni aktualisierte Chip-Software zur Verfügung gestellt, die den Fehler bereinigen. Software-Updates vom Hersteller, die die Sicherheitslücke schließen, müssten also ein späteres Veröffentlichungsdatum tragen.
Geht's um Sensibles: Kabelkopfhörer nutzen
Bis die Lücke geschlossen ist, rät "Heise online" grundsätzlich zur Vorsicht: Geht es um sensible Informationen oder befindet man sich in sensiblen Umgebungen, sollten betroffene Kopfhörer nur vorsichtig oder gar nicht genutzt werden. Wer ganz auf Nummer sicher gehen möchte, greift vorerst wieder auf kabelgebundene Kopfhörer oder Headsets zurück. (dpa)
