Viele populäre Geräte betroffenSicherheitslücke macht Bluetooth-Kopfhörer zu Abhörgeräten
Eine gefährliche Sicherheitslücke ermöglicht Hackern, in Sekundenschnelle die Kontrolle über Bluetooth-Kopfhörer zu erlangen. Sie können dann unter anderem Gespräche abhören oder Lautstärke-Attacken durchführen. Betroffen sind unter anderem Headsets von Sony, JBL und Google.
Sicherheitsforscher der KU Leuven haben eine kritische Schwachstelle entdeckt, die es Angreifern erlaubt, die komplette Kontrolle über Kopfhörer und anderes Bluetooth-Zubehör zu übernehmen. Sie tauften die Schwachstelle "WhisperPair". Betroffen sind hunderte Millionen Geräte, die Googles Fast-Pair-Funktion nicht korrekt implementiert haben.
Ein Angriff mit handelsüblicher Hardware benötige im Durchschnitt nur zehn Sekunden, schreiben die niederländischen Wissenschaftler. In ihren Tests gelangen Funk-Attacken über Entfernungen bis zu 14 Metern.
Kopfhörer werden zu Wanzen
Google Fast Pair ist eine Funktion, mit der vor allem Bluetooth-Kopf- und Ohrhörer unkompliziert mit einem Smartphone oder einem Laptop gekoppelt werden können. "Der Fehler liegt darin begründet, dass viele Zubehörgeräte einen wichtigen Schritt im Kopplungsprozess nicht durchsetzen", so die Wissenschaftler. Da sich die Schwachstelle in den Headsets befindet, sind auch iPhone-Nutzerinnen und -Nutzer gefährdet, sofern ihre Headsets Google Fast Pair unterstützen.
Um die Funktion zu starten, sendet beispielsweise ein Smartphone eine Nachricht an einen Bluetooth-Kopfhörer und teilt ihm mit, dass es eine Verbindung wünscht. Eigentlich sollte das Zubehör solche Anfragen ignorieren, wenn es sich nicht im Kopplungsmodus befindet. In der Praxis versäumen es jedoch viele Geräte, diese Überprüfung durchzuführen, wodurch auch Geräte den Kopplungsvorgang starten können, die nicht autorisiert sind. Steht die Verbindung, können Angreifer mithilfe der Mikrofone Gespräche aufzeichnen oder die Ohren von Opfern schädigen, indem sie Audio mit maximaler Lautstärke abspielen.
Auch iPhone-Nutzer betroffen
Unter Umständen ist es mit "WhisperPair" auch möglich, über Googles Mein-Gerät-finden-Netzwerk den Standort von Opfern zu verfolgen. Dazu ist es nötig, dass der Kopfhörer noch mit keinem Android-Smartphone gekoppelt war. Nur dann können Angreifer das Zubehör mit einem anderen Google-Konto hinzufügen. Das dürfte speziell bei iPhone-Nutzerinnen und -Nutzern der Fall sein.
"Das Opfer erhält möglicherweise nach einigen Stunden oder Tagen eine unerwünschte Benachrichtigung zur Standortverfolgung, die jedoch sein eigenes Gerät anzeigt", so die Sicherheitsforscher. "Nutzer könnten die Warnung daher fälschlicherweise für einen Fehler halten, wodurch ein Angreifer das Opfer über einen längeren Zeitraum verfolgen kann."
Die Wissenschaftler vermuten ein systemisches Versagen. "Unsere Studie zeigt, dass zahlreiche Geräte, Hersteller und Chipsätze betroffen sind. Diese anfälligen Geräte bestanden sowohl die Qualitätssicherungstests der Hersteller als auch Googles Zertifizierungsprozess."
Geräte auf Updates prüfen!
Die gute Nachricht für Betroffene: Die Sicherheitsforscher meldeten Google die Schwachstelle bereits im August und vereinbarten 150 Tage Stillschweigen, um Herstellern die Möglichkeit zu geben, das Problem mit Updates zu beheben. Google hat dies nach eigenen Angaben bei seinen Pixel-Buds getan.
Auch viele andere Anbieter hätten bereits entsprechende Patches veröffentlicht, möglicherweise aber nicht alle, schreiben die Wissenschaftler. Nutzerinnen und Nutzer von betroffenen Geräten sollten diese also unbedingt auf verfügbare Aktualisierungen überprüfen.
Ob man gefährdet ist, kann man auf einer Webseite der KU Leuven herausfinden, auf der die Wissenschaftler einige populäre verwundbare Kopf- und Ohrhörer auflisten. Außerdem ist es möglich, über ein Suchfenster weiteres Zubehör zu überprüfen.