Onderzoekers hebben beveiligingslekken ontdekt in Bluetooth-chips van het merk Airoha. Een groot aantal fabrikanten maakt gebruik van deze chips.
De kwetsbaarheden maken het mogelijk dat kwaadwillenden via Bluetooth kunnen meeluisteren of gevoelige gegevens kunnen buitmaken, zoals contactlijsten en belgeschiedenis.
Het probleem treft 29 apparaten van merken als Beyerdynamic, Bose, Sony, Marshall, Jabra, JBL, Jlab, EarisMax, MoerLabs en Teufel. Het gaat om producten als koptelefoons, speakers en microfoons. In sommige gevallen kunnen aanvallers die zich binnen Bluetooth-bereik bevinden, zelfs de controle over een apparaat overnemen.
Tijdens de TROOPERS-conferentie in Duitsland presenteerden beveiligingsonderzoekers van het Duitse bedrijf ERNW drie kwetsbaarheden in de Airoha-chips die veel worden gebruikt in True Wireless Stereo-oordopjes.
De drie geïdentificeerde kwetsbaarheden zijn gerelateerd aan ontbrekende authenticatie in Bluetooth-diensten, zowel bij klassieke als moderne verbindingstypes. De meest ernstige daarvan maakt misbruik mogelijk van een specifiek, op maat gemaakt protocol. ERNW wist met een proefopstelling onder meer de actuele audiostream van een doelwit uit te lezen.
Inzicht in belgeschiedenis en contactgegevens
Hoewel het afluisteren van muziek wellicht niet direct verontrustend lijkt, tonen de onderzoekers aan dat dezelfde kwetsbaarheden kunnen worden ingezet om een Bluetooth-verbinding over te nemen. Via het zogeheten Hands-Free Profile is het dan mogelijk om telefoons aan te sturen, bijvoorbeeld om gesprekken te starten of beantwoorden. Op sommige toestellen bleek het zelfs mogelijk om belgeschiedenis en contactgegevens uit te lezen.
In een van de demonstraties slaagden de onderzoekers erin een telefoongesprek te starten en vervolgens mee te luisteren met alles wat zich in de omgeving van het toestel afspeelde. Ze konden bovendien de firmware van het getroffen apparaat herschrijven. Daarmee opent zich de deur naar aanvallen waarbij schadelijke code zich automatisch kan verspreiden naar andere apparaten.
Toch zijn dergelijke aanvallen in de praktijk lastig uit te voeren. Ze vereisen niet alleen specialistische kennis, maar ook dat de aanvaller zich dicht bij het slachtoffer bevindt. Volgens de onderzoekers is het risico op grootschalige misbruik beperkt. Maar voor personen in gevoelige beroepen, zoals diplomaten, journalisten of activisten, kan het wel degelijk een bedreiging vormen.
Airoha bracht inmiddels een nieuwe versie van zijn softwareontwikkelkit (SDK) uit waarin het de problemen oplost. Fabrikanten van getroffen apparaten zijn bezig met het ontwikkelen en verspreiden van updates. Volgens Heise Online zijn echter veel firmware-updates voor deze apparaten nog van vóór 27 mei, terwijl Airoha de bijgewerkte SDK pas daarna beschikbaar stelde. Dat betekent dat veel toestellen nog altijd kwetsbaar zijn voor de beschreven aanvallen.