taz: Herr Heinze, auf dem Chaos Communication Congress in Hamburg haben Sie auf der Bühne gezeigt, wie man Bluetooth-Kopfhörer hacken kann. Wie kommt man auf so was?

Dennis Heinze: Wir wollten die Schnittstelle zwischen Kopfhörern und Smartphones besser verstehen. Das Einzige, was es gebraucht hat, war unser Interesse, sich so etwas Nischiges anzusehen – und Zeit. Wir sind auf einige Bluetooth-Audio-Geräte gestoßen, bei denen wir Sicherheitslücken vermuteten. Wie genau die Schwachstelle funktioniert, die wir gefunden haben, lernt man im Prinzip im ersten Semester IT-Security.

taz: Was genau konnten Sie herausfinden?

Heinze: In den betroffenen Kopfhörern sind Chips verbaut. Alle Geräte, die wir übernehmen konnten, hatten eine Gemeinsamkeit: Der Chip kam vom Hersteller Airoha. Dieser Chip, beziehungsweise eine Schwachstelle dort, konnte von Angreifern ausgenutzt werden.

taz: Mit dem reinen Zugriff auf Kopfhörer kann ein Angreifer erst mal nicht viel machen.

Heinze: Wenn Leute von unserem Experiment hören, sagen viele: „Kopfhörer – mir doch egal, ob jemand die hackt, dann hört er halt, was ich höre.“ Witzigerweise ist das fast der schwierigste Angriff: Mitzuhören, was jemand hört. Deshalb haben wir gezeigt, wie man so dennoch an ziemlich viele Informationen und Daten rankommen kann. Ich kann zwar nicht mithören, aber zum Beispiel herausfinden, welchen Song die Person gerade hört. Das ist den meisten Leuten auch egal. Interessant wird es, wenn es um sensiblere Inhalte geht. Spannend ist der Sprung von diesem uninteressanten Gerät zu einem, das viel interessanter ist: dem Smartphone.

taz: Und da lohnt sich der Umweg über die Kopfhörer?

Heinze: Smartphone-Betriebssysteme gehören zu den sichersten Plattformen, die es gibt. Da Schwachstellen zu finden, ist schwer. Durch den Bluetooth Link Key, also einer Art Schlüssel, gelingt es uns aber nun, vom Kopfhörer aufs Smartphone zuzugreifen.

taz: Wie funktioniert das?

Heinze: Wenn ein Smartphone und ein Kopfhörer sich zum ersten Mal verbinden, handeln sie – vereinfacht gesagt – einen Schlüssel aus: den Link Key. Durch diesen können sich die Geräte beim nächsten Mal automatisch verbinden. Es ist ein Geheimnis, das beiden Seiten bekannt ist. Kenne ich als Angreifer diesen Link Key, kann ich mich als Kopfhörer ausgeben und mich mit einem Smartphone verbinden.

taz: Kann ein Angriff nur gestartet werden in dem Moment des Pairing-Modes, also wenn die Kopfhörer sichtbar sind für andere Bluetooth-Geräte?

Heinze: Nein, das geht immer. Als normaler Nutzer kann ich mich nur mit Kopfhörern verbinden, wenn ich sie in den Pairing-Mode setze. Man drückt einen Knopf und sieht dann in der Liste seinen Kopfhörer. Was viele nicht wissen: Es gibt zwei Bluetooth-Arten: Classic und Low Energy. Bluetooth Low Energy wird beispielsweise bei Herzfrequenzmonitoren verwendet. Mit Geräten, die „Low Energy“ unterstützen, kann man sich einfach so verbinden, sie quasi „abonnieren“, ohne Pairing. Mit den Airoha-Chips sind beide Arten von Bluetooth-Verbindungen möglich. Der Link Key lässt sich aber auch bei Bluetooth Classic herausfinden, das ist aber technisch ein bisschen herausfordernder.

taz: Auf der Bühne in Hamburg habt ihr euch so Zugang zu einem WhatsApp-Konto und dann auch zu einem Amazon-Konto verschafft.

Heinze: Wir haben das so sehr eskaliert, um aufzuzeigen: Es geht um mehr als die Kopfhörer. Die sind die Schwachstelle, die eine sehr privilegierte Verbindung zu einem eigentlich sicheren Gerät hat. Und mit dem können wir dann viel machen. Es gibt ein Hands-Free-Profile bei Bluetooth. Das definiert, welche Nachrichten die beiden Geräte hin und her schicken sollen, was sie tun dürfen.

taz: Zum Beispiel Sprachbefehle, die man über den Kopfhörer umsetzen darf.

Heinze: Genau. Das Hands-Free-Profile nutzen so gut wie alle Kopfhörer und Car-Entertainment-Systeme. Man kann Anrufe annehmen, auslösen oder einen Sprachassistenten benutzen. Vereinfacht gesagt haben wir nun diese privilegierte Verbindung zum Handy und können mit dem Handy Dinge machen, die ein Angreifer eigentlich nicht machen sollte.

taz: Und wie lassen sich damit nun WhatsApp-Kontos kapern?

Heinze: Registriert man einen WhatsApp-Account auf einem neuen Gerät, gibt es drei Verifikationsmöglichkeiten für die eigene Rufnummer: SMS, Anruf oder ein Sicherheitscode. Wir haben die Anrufvariante ausgenutzt, weil wir eine Hands-Free-Verbindung zwischen den „Kopfhörern“ und dem Handy hatten. Dadurch können wir sehen, wenn ein Anruf reinkommt.

Wir nehmen also unser Angreifer-Telefon, tippen da die Telefonnummer des Opfers ein, die wir auch über das Hands-Free-Profile herausbekommen haben. Dann warten wir, bis der Anruf kommt und nehmen ihn sehr schnell an – bevor das Opfer ihn auf seinem Telefon bemerkt.

taz: Weil der sowohl auf dem Gerät des Opfers als auch auf dem Gerät des Angreifers gleichzeitig kurz ankommt?

Heinze: Ja. Würde das Opfer genau dann aufs Handy schauen, würde es sehen, dass gerade ein Anruf läuft. Man muss das machen, wenn die Person nicht hinguckt. Was man verhindern kann, ist, dass es überhaupt vibriert, wenn ich schnell den Anruf annehme. Dann kommt eine Durchsage mit „Your WhatsApp Verification Code“. Dann muss man diesen ins Angreifertelefon eintippen und schon ist man im WhatsApp-Account des Opfers.

taz: Ihr hattet den WhatsApp-Account übernommen. Danach ging es an den Amazon-Account des fiktiven Opfers.

Heinze: Die Übernahme eines Amazon-Accounts ist eine Weiterführung der Demonstration des Identitäts- und Datenklaus. Statt sich bei Amazon mit Passwort einzuloggen, kann man sich dort auch per Code als WhatsApp-Nachricht einloggen. An sich hätten wir so alle Accounts eines Opfers übernehmen können, bei denen man sich einen WhatsApp-Verifikationscode schicken lassen kann.

taz: Welche Kopfhörer-Modelle sind eigentlich von der Sicherheitslücke betroffen?

Heinze: Bose, Marshall, Sony, JBL… viele große Namen. Es kommt auf das Modell und den verbauten Chip an. Viele ältere Modelle haben andere Chips verbaut und sind nicht betroffen.

taz: Ihr habt einige der Unternehmen kontaktiert, bevor ihr die Sicherheitslücke publik gemacht habt.

Heinze: Wir haben Sony angeschrieben, weil wir von denen zwei Geräte hatten und noch von mehr mit dem gleichen Airoha-Chip wussten. Ebenso Marshall. Und Beyerdynamic, weil es eine deutsche Firma ist. Beyerdynamic hat uns geantwortet.

taz: Sony und Marshall auch?

Heinze: Nein. Bei Marshall kam nur eine Eingangsbestätigung zur E-Mail. Auch bei Sony war es schwierig. Die haben eine Plattform, über die man Schwachstellen melden kann. Doch um diese zu nutzen, muss man einen Vertrag von Sony unterschreiben. Letztendlich hätten wir damit alle Rechte der Schwachstelle abtreten müssen. Das konnten wir nicht, weil nicht nur Sony-Kopfhörer betroffen waren, sondern auch die anderer Hersteller. Daraufhin haben wir Sony direkt angeschrieben. Irgendwann kam eine Antwort, die uns wieder darauf verwies, Sonys Bedingungen zu akzeptieren. Kurz bevor wir zum ersten Mal öffentlich über das Problem gesprochen haben, haben wir denen trotzdem unsere Dokumentation zugeschickt.

taz: Wie war der Kontakt zu Airoha?

Heinze: Zwei Monate kam keine Antwort. Da gab es auf deren Seite ein technisches Problem. Anscheinend hat sie dann einer ihrer Kunden auf die Schwachstelle hingewiesen. Daraufhin haben sie unsere E-Mails gefunden. Dann hatten wir eine gute und offene Kommunikation. Die haben uns sogar gefragt, was sie in Zukunft besser machen können. Am 4. Juni 2025 haben sie ein Update rausgegeben und die Kopfhörer-Hersteller gebeten, das beim nächsten Firmware-Update draufzuspielen. Mit dem Firmware-Update wird verhindert, dass eben dieser Link-Key der Kopfhörer offengelegt wird und eingesehen werden kann.

taz: Sind nun alle Kopfhörer-Modelle sicher vor Hackern?

Heinze: Nein, das Update ist unseres Wissens noch nicht überall draufgespielt worden.

taz: An sich habt ihr Menschen beim Congress eine Anleitung zum Hacken gegeben. Wie steht ihr moralisch dazu?

Heinze: Es gehört sich, einem Hersteller 90 Tage Zeit zu geben, um Schwachstellen zu beheben. Erst dann macht man sie öffentlich. Das war unser Plan. Dann warteten wir lange auf Antworten. Als die 90 Tage vorbei waren, wussten drei Hersteller von dieser Schwachstelle. Der Zulieferer Airoha war dran, sie zu beheben. Wir wollten niemanden gefährden, haben unsere Erkenntnisse dennoch veröffentlicht, jedoch mit Einschränkungen. Wenn sich ein Angreifer das Werkzeug bauen will, das die Link Keys auslesen kann, muss er das schon selbst hinbekommen, dazu veröffentlichen wir keine Infos. Das wäre zu gefährlich, weil die Schwachstelle so einfach auszunutzen ist. Vielleicht gibt es Geheimdienste oder Firmen, welche sie schon vor uns kannten.

taz: Dann habt ihr eure Erkenntnisse veröffentlicht.

Heinze: Wir hofften, dass sich die Hersteller dann endlich darum kümmern. Es ist und bleibt deren Verantwortung, ihre Produkte sicher zu machen. Es hat sich auch etwas getan, aber nur langsam und wenig koordiniert.

taz: Wisst ihr, bei welchen Kopfhörern die Sicherheitslücke geschlossen wurde?

Heinze: Die Situation ist intransparent. Die wäre gelöst, wenn die Hersteller klarer kommunizieren würden. Die wissen ja, welche Chips sie wo verbaut haben. Nur Jabra hat das gemacht. Bei den anderen Herstellern haben wir ein unvollständiges Bild.

taz: Wie könnten solche Schwachstellen in Zukunft verhindert werden?

Heinze: Auf Hersteller-Seite empfehlen wir: Vor allem, wenn externe Komponenten eingekauft werden, wie Chips, sollte ein Security-Assessment gemacht werden, ein sogenannter Pentest. Dabei wäre die Schwachstelle wahrscheinlich aufgefallen.

taz: Was raten Sie denjenigen, die Kopfhörer mit dem Chip besitzen?

Heinze: Auf jeden Fall das neueste Update einspielen. Gibt es kein Update, kann man über unser Tool herausfinden, ob das entsprechende Gerät verwundbar ist. Wir erklären in unserer Veröffentlichung auch, wie man das mit einer Smartphone-App testen kann.

taz: Sollte man bestimmte Kopfhörer erst mal gar nicht verwenden?

Heinze: Hat man das Gefühl, man könnte zum Ziel werden, also beispielsweise Journalisten oder Politiker, sollte man sie vielleicht erstmal nicht benutzen. Was auch gut wäre: Den Hersteller kontaktieren, wenn man eines der betroffenen Geräte besitzt, bei dem die Schwachstelle noch existiert.

taz: Auf besorgte Kunden reagieren Unternehmen vielleicht eher.

Heinze: Klar, wenn jetzt 100 Leute einen der Kopfhörerhersteller anschreiben, könnte das helfen.