# taz.de -- IT-Forscher übers Hacken von Kopfhörern: „Die Schwachstelle in einem eigentlich sehr sicheren Gerät“
> Dennis Heinze und Frieder Steinmetz haben Bluetooth-Kopfhörer gehackt.
> Ein Gespräch über Schwachstellen, Schnittstellen und sensible Daten.
(IMG) Bild: Bluetooth-Kopfhörer
taz: Herr Heinze, auf dem [1][Chaos Communication Congress] in Hamburg
haben Sie auf der Bühne gezeigt, wie man Bluetooth-Kopfhörer hacken kann.
Wie kommt man auf so was?
Dennis Heinze: Wir wollten die Schnittstelle zwischen Kopfhörern und
Smartphones besser verstehen. Das Einzige, was es gebraucht hat, war unser
Interesse, sich so etwas Nischiges anzusehen – und Zeit. Wir sind auf
einige Bluetooth-Audio-Geräte gestoßen, bei denen wir Sicherheitslücken
vermuteten. Wie genau die Schwachstelle funktioniert, die wir gefunden
haben, lernt man im Prinzip im ersten Semester IT-Security.
taz: Was genau konnten Sie herausfinden?
Heinze: In den betroffenen Kopfhörern sind Chips verbaut. Alle Geräte, die
wir übernehmen konnten, hatten eine Gemeinsamkeit: Der Chip kam vom
Hersteller Airoha. Dieser Chip, beziehungsweise eine Schwachstelle dort,
konnte von Angreifern ausgenutzt werden.
taz: Mit dem reinen Zugriff auf Kopfhörer kann ein Angreifer erst mal nicht
viel machen.
Heinze: Wenn Leute von unserem Experiment hören, sagen viele: „Kopfhörer –
mir doch egal, ob jemand die hackt, dann hört er halt, was ich höre.“
Witzigerweise ist das fast der schwierigste Angriff: Mitzuhören, was jemand
hört. Deshalb haben wir gezeigt, wie man so dennoch an ziemlich viele
Informationen und Daten rankommen kann. Ich kann zwar nicht mithören, aber
zum Beispiel herausfinden, welchen Song die Person gerade hört. Das ist den
meisten Leuten auch egal. Interessant wird es, wenn es um [2][sensiblere
Inhalte] geht. Spannend ist der Sprung von diesem uninteressanten Gerät zu
einem, das viel interessanter ist: dem Smartphone.
taz: Und da lohnt sich der Umweg über die Kopfhörer?
Heinze: Smartphone-Betriebssysteme gehören zu den sichersten Plattformen,
die es gibt. Da Schwachstellen zu finden, ist schwer. Durch den Bluetooth
Link Key, also einer Art Schlüssel, gelingt es uns aber nun, vom Kopfhörer
aufs Smartphone zuzugreifen.
taz: Wie funktioniert das?
Heinze: Wenn ein Smartphone und ein Kopfhörer sich zum ersten Mal
verbinden, handeln sie – vereinfacht gesagt – einen Schlüssel aus: den Link
Key. Durch diesen können sich die Geräte beim nächsten Mal automatisch
verbinden. Es ist ein Geheimnis, das beiden Seiten bekannt ist. Kenne ich
als Angreifer diesen Link Key, kann ich mich als Kopfhörer ausgeben und
mich mit einem Smartphone verbinden.
taz: Kann ein Angriff nur gestartet werden in dem Moment des Pairing-Modes,
also wenn die Kopfhörer sichtbar sind für andere Bluetooth-Geräte?
Heinze: Nein, das geht immer. Als normaler Nutzer kann ich mich nur mit
Kopfhörern verbinden, wenn ich sie in den Pairing-Mode setze. Man drückt
einen Knopf und sieht dann in der Liste seinen Kopfhörer. Was viele nicht
wissen: Es gibt zwei Bluetooth-Arten: Classic und Low Energy. Bluetooth Low
Energy wird beispielsweise bei Herzfrequenzmonitoren verwendet. Mit
Geräten, die „Low Energy“ unterstützen, kann man sich einfach so verbinden,
sie quasi „abonnieren“, ohne Pairing. Mit den Airoha-Chips sind beide Arten
von Bluetooth-Verbindungen möglich. Der Link Key lässt sich aber auch bei
Bluetooth Classic herausfinden, das ist aber technisch ein bisschen
herausfordernder.
taz: Auf der Bühne in Hamburg habt ihr euch so Zugang zu einem
WhatsApp-Konto und dann auch zu einem Amazon-Konto verschafft.
Heinze: Wir haben das so sehr eskaliert, um aufzuzeigen: Es geht um mehr
als die Kopfhörer. Die sind die Schwachstelle, die eine sehr privilegierte
Verbindung zu einem eigentlich sicheren Gerät hat. Und mit dem können wir
dann viel machen. Es gibt ein Hands-Free-Profile bei Bluetooth. Das
definiert, welche Nachrichten die beiden Geräte hin und her schicken
sollen, was sie tun dürfen.
taz: Zum Beispiel Sprachbefehle, die man über den Kopfhörer umsetzen darf.
Heinze: Genau. Das Hands-Free-Profile nutzen so gut wie alle Kopfhörer und
Car-Entertainment-Systeme. Man kann Anrufe annehmen, auslösen oder einen
Sprachassistenten benutzen. Vereinfacht gesagt haben wir nun diese
privilegierte Verbindung zum Handy und können mit dem Handy Dinge machen,
die ein Angreifer eigentlich nicht machen sollte.
taz: Und wie lassen sich damit nun WhatsApp-Kontos kapern?
Heinze: Registriert man einen WhatsApp-Account auf einem neuen Gerät, gibt
es drei Verifikationsmöglichkeiten für die eigene Rufnummer: SMS, Anruf
oder ein Sicherheitscode. Wir haben die Anrufvariante ausgenutzt, weil wir
eine Hands-Free-Verbindung zwischen den „Kopfhörern“ und dem Handy hatten.
Dadurch können wir sehen, wenn ein Anruf reinkommt.
Wir nehmen also unser Angreifer-Telefon, tippen da die Telefonnummer des
Opfers ein, die wir auch über das Hands-Free-Profile herausbekommen haben.
Dann warten wir, bis der Anruf kommt und nehmen ihn sehr schnell an – bevor
das Opfer ihn auf seinem Telefon bemerkt.
taz: Weil der sowohl auf dem Gerät des Opfers als auch auf dem Gerät des
Angreifers gleichzeitig kurz ankommt?
Heinze: Ja. Würde das Opfer genau dann aufs Handy schauen, würde es sehen,
dass gerade ein Anruf läuft. Man muss das machen, wenn die Person nicht
hinguckt. Was man verhindern kann, ist, dass es überhaupt vibriert, wenn
ich schnell den Anruf annehme. Dann kommt eine Durchsage mit „Your WhatsApp
Verification Code“. Dann muss man diesen ins Angreifertelefon eintippen und
schon ist man im WhatsApp-Account des Opfers.
taz: Ihr hattet den WhatsApp-Account übernommen. Danach ging es an den
Amazon-Account des fiktiven Opfers.
Heinze: Die Übernahme eines Amazon-Accounts ist eine Weiterführung der
Demonstration des Identitäts- und Datenklaus. Statt sich bei Amazon mit
Passwort einzuloggen, kann man sich dort auch per Code als
WhatsApp-Nachricht einloggen. An sich hätten wir so alle Accounts eines
Opfers übernehmen können, bei denen man sich einen
WhatsApp-Verifikationscode schicken lassen kann.
taz: Welche Kopfhörer-Modelle sind eigentlich von der Sicherheitslücke
betroffen?
Heinze: Bose, Marshall, Sony, JBL… viele große Namen. Es kommt auf das
Modell und den verbauten Chip an. Viele ältere Modelle haben andere Chips
verbaut und sind nicht betroffen.
taz: Ihr habt einige der Unternehmen kontaktiert, bevor ihr die
Sicherheitslücke publik gemacht habt.
Heinze: Wir haben Sony angeschrieben, weil wir von denen zwei Geräte hatten
und noch von mehr mit dem gleichen Airoha-Chip wussten. Ebenso Marshall.
Und Beyerdynamic, weil es eine deutsche Firma ist. Beyerdynamic hat uns
geantwortet.
taz: Sony und Marshall auch?
Heinze: Nein. Bei Marshall kam nur eine Eingangsbestätigung zur E-Mail.
Auch bei Sony war es schwierig. Die haben eine Plattform, über die man
Schwachstellen melden kann. Doch um diese zu nutzen, muss man einen Vertrag
von Sony unterschreiben. Letztendlich hätten wir damit alle Rechte der
Schwachstelle abtreten müssen. Das konnten wir nicht, weil nicht nur
Sony-Kopfhörer betroffen waren, sondern auch die anderer Hersteller.
Daraufhin haben wir Sony direkt angeschrieben. Irgendwann kam eine Antwort,
die uns wieder darauf verwies, Sonys Bedingungen zu akzeptieren. Kurz bevor
wir zum ersten Mal öffentlich über das Problem gesprochen haben, haben wir
denen trotzdem unsere Dokumentation zugeschickt.
taz: Wie war der Kontakt zu Airoha?
Heinze: Zwei Monate kam keine Antwort. Da gab es auf deren Seite ein
technisches Problem. Anscheinend hat sie dann einer ihrer Kunden auf die
Schwachstelle hingewiesen. Daraufhin haben sie unsere E-Mails gefunden.
Dann hatten wir eine gute und offene Kommunikation. Die haben uns sogar
gefragt, was sie in Zukunft besser machen können. Am 4. Juni 2025 haben sie
ein Update rausgegeben und die Kopfhörer-Hersteller gebeten, das beim
nächsten Firmware-Update draufzuspielen. Mit dem Firmware-Update wird
verhindert, dass eben dieser Link-Key der Kopfhörer offengelegt wird und
eingesehen werden kann.
taz: Sind nun alle Kopfhörer-Modelle sicher vor Hackern?
Heinze: Nein, das Update ist unseres Wissens noch nicht überall
draufgespielt worden.
taz: An sich habt ihr Menschen beim Congress eine Anleitung zum Hacken
gegeben. Wie steht ihr moralisch dazu?
Heinze: Es gehört sich, einem Hersteller 90 Tage Zeit zu geben, um
Schwachstellen zu beheben. Erst dann macht man sie öffentlich. Das war
unser Plan. Dann warteten wir lange auf Antworten. Als die 90 Tage vorbei
waren, wussten drei Hersteller von dieser Schwachstelle. Der Zulieferer
Airoha war dran, sie zu beheben. Wir wollten niemanden gefährden, haben
unsere Erkenntnisse dennoch veröffentlicht, jedoch mit Einschränkungen.
Wenn sich ein Angreifer das Werkzeug bauen will, das die Link Keys auslesen
kann, muss er das schon selbst hinbekommen, dazu veröffentlichen wir keine
Infos. Das wäre zu gefährlich, weil die Schwachstelle so einfach
auszunutzen ist. Vielleicht gibt es Geheimdienste oder Firmen, welche sie
schon vor uns kannten.
taz: Dann habt ihr eure Erkenntnisse veröffentlicht.
Heinze: Wir hofften, dass sich die Hersteller dann endlich darum kümmern.
Es ist und bleibt deren Verantwortung, ihre Produkte sicher zu machen. Es
hat sich auch etwas getan, aber nur langsam und wenig koordiniert.
taz: Wisst ihr, bei welchen Kopfhörern die Sicherheitslücke geschlossen
wurde?
Heinze: Die Situation ist intransparent. Die wäre gelöst, wenn die
Hersteller klarer kommunizieren würden. Die wissen ja, welche Chips sie wo
verbaut haben. Nur Jabra hat das gemacht. Bei den anderen Herstellern haben
wir ein unvollständiges Bild.
taz: Wie könnten solche Schwachstellen in Zukunft verhindert werden?
Heinze: Auf Hersteller-Seite empfehlen wir: Vor allem, wenn externe
Komponenten eingekauft werden, wie Chips, sollte ein Security-Assessment
gemacht werden, ein sogenannter Pentest. Dabei wäre die Schwachstelle
wahrscheinlich aufgefallen.
taz: Was raten Sie denjenigen, die Kopfhörer mit dem Chip besitzen?
Heinze: Auf jeden Fall das neueste Update einspielen. Gibt es kein Update,
kann man über unser Tool herausfinden, ob das entsprechende Gerät
verwundbar ist. Wir erklären in unserer Veröffentlichung auch, wie man das
mit einer Smartphone-App testen kann.
taz: Sollte man bestimmte Kopfhörer erst mal gar nicht verwenden?
Heinze: Hat man das Gefühl, man könnte zum Ziel werden, also beispielsweise
Journalisten oder Politiker, sollte man sie vielleicht erstmal nicht
benutzen. Was auch gut wäre: Den Hersteller kontaktieren, wenn man eines
der betroffenen Geräte besitzt, bei dem die Schwachstelle noch existiert.
taz: Auf besorgte Kunden reagieren Unternehmen vielleicht eher.
Heinze: Klar, wenn jetzt 100 Leute einen der Kopfhörerhersteller
anschreiben, könnte das helfen.
13 Jan 2026
## LINKS
(DIR) [1] /39-Chaos-Communication-Congress/!6138448
(DIR) [2] /personenbezogene-Daten/!t5032397
## AUTOREN
(DIR) Klaudia Lagozinski
## TAGS
(DIR) Schwerpunkt Chaos Computer Club
(DIR) Hacker
(DIR) Sony
(DIR) Musik
(DIR) Cybersicherheit
(DIR) IT-Sicherheit
(DIR) Kolumne Der rechte Rand
(DIR) Stalking
(DIR) Schwerpunkt Chaos Computer Club
## ARTIKEL ZUM THEMA
(DIR) Rechtsextremes Datingportal: Liebestod für Nazis
Eine schleswig-holsteinische Rechtsextremistin hatte ein
Rassisten-Datingportal gegründet. Eine Hackerin hat es nun vom Netz
genommen.
(DIR) Tipps gegen Cyberstalking: Hacken und hexen
Die Antistalking-Seite der Gruppe Haecksen liefert Tipps, wie man sich vor
digitaler Verfolgung schützt. Dazu gibt es Schritt-für-Schritt-Anleitungen.
(DIR) 39. Chaos Communication Congress: Chaos Kinder Congress
Auf dem Chaos Communication Congress zeigen Hacker*innen und Jugendliche,
warum Chatkontrolle und Überwachung Kinder nicht schützen. Was aber sonst?