Apple heeft de draadloze Beats Studio Buds-oordopjes geüpdatet om een zeer ernstige kwetsbaarheid te verhelpen die door hackers in de buurt zou kunnen worden uitgebuit om gebruikers af te luisteren.
De kwetsbaarheid, bijgehouden als CVE-2025-20701 (CVSS-score: 8,8), verwijst naar een geval van onjuiste autorisatie met gevolgen voor de Airoha Bluetooth-audio SDK die het mogelijk maakt om een Bluetooth-audioapparaat te koppelen zonder toestemming van de gebruiker.
Succesvol misbruik van de fout kan leiden tot escalatie van bevoegdheden op afstand zonder dat daarvoor extra uitvoeringsrechten of gebruikersinteractie nodig zijn. Het probleem is verholpen in Beats Firmware Update 1B211.
“Een aanvaller binnen Bluetooth-bereik kan mogelijk luisteren via de microfoon van een apparaat dat nog niet is gekoppeld en actief op zoek is naar koppelingsverzoeken”, zei Apple in een advies dat deze week werd uitgebracht.
Details van de kwetsbaarheid kwamen voor het eerst aan het licht in juni 2025 toen ERNW GmbH-onderzoekers Dennis Heinze en Frieder Steinmetz deze samen met twee andere tekortkomingen in Airoha SoC’s (CVE-2025-20700 en CVE-2025-20702) signaleerden op de TROOPERS-beveiligingsconferentie in Duitsland. Soortgelijke patches zijn in december 2025 door Jabra uitgebracht.
“In de meeste gevallen zorgen deze kwetsbaarheden ervoor dat aanvallers de hoofdtelefoon volledig kunnen overnemen via Bluetooth. Er is geen authenticatie of koppeling vereist”, merkten de onderzoekers destijds op. “De kwetsbaarheden kunnen worden geactiveerd via Bluetooth BR/EDR of Bluetooth Low Energy (BLE). Het binnen Bluetooth-bereik zijn is de enige voorwaarde. Het is mogelijk om het RAM-geheugen en de flash van het apparaat te lezen en te schrijven.”
“Deze mogelijkheden stellen aanvallers ook in staat gevestigde vertrouwensrelaties met andere apparaten te kapen, zoals de telefoon die aan de hoofdtelefoon is gekoppeld. Deze mogelijkheden maken meerdere aanvalsscenario’s mogelijk.”
Nieuwe, niet-patchbare exploit ontdekt in Apple’s A12- en A13-chips
De onthulling komt op het moment dat Paradigm Shift een nieuwe iPhone SecureROM (ook bekend als BootROM) kwetsbaarheid openbaarde die gevolgen heeft voor de A12- en A13-chips van Apple, naast een proof-of-concept (PoC) exploit met de codenaam usbliter8.
“De exploit maakt gebruik van zowel een hardwarefout in de USB-controller als een specifieke configuratiefout in de firmware van het apparaat”, aldus het Europese cyberbeveiligingsbedrijf. “Aangezien deze kwetsbaarheden zich in onveranderlijke code bevinden, moeten getroffen gebruikers zich ervan bewust zijn dat migreren naar nieuwere hardware de meest effectieve oplossing blijft.”
Op een hoog niveau werkt de exploit door gebruik te maken van een fout in de USB-controller die in Apple SoC’s is ingebouwd. De controller gebruikt een geheugenbuffer om SETUP- en OUT-pakketten op te slaan die worden verzonden aan het begin van de gegevensoverdracht. Uit het onderzoek bleek dat het mogelijk is om een primitieve buffer-underflow te activeren door gebruik te maken van het feit dat de controller ook kleinere pakketten accepteert, waardoor onder bepaalde omstandigheden kwaadaardige code kan worden geïnjecteerd en uitgevoerd.
Het probleem, zo merkte Paradigm Shift op, ligt waarschijnlijk in de hardware van de USB-controller zelf, en niet in de software van Apple. De A11-chip is niet gevoelig voor de kwetsbaarheid, terwijl de A12 en A13 wel kwetsbaar zijn.
“Het verschil is dat het A11 USB-stuurprogramma het DMA-adres handmatig terugzet naar de oorspronkelijke waarde na ontvangst van elk pakket”, aldus het bedrijf. “Op de A12 en A13 is USB DART geconfigureerd in de bypass-modus, waardoor we SRAM-gegevens vrijelijk kunnen overschrijven. A14 en latere generaties lijken de DART daarentegen correct te configureren in SecureROM, waardoor de kwetsbaarheid niet kan worden misbruikt.”
De usbliter8-exploit is vergelijkbaar met checkm8, de publiekelijk bekende BootROM-exploit van deze soort die gevolgen had voor alle iOS-apparaten, variërend van iPhone 4s (A5-chip) tot iPhone 8 en iPhone X (A11-chip).
“De usbliter8-exploit laat zien dat zelfs op recentere SecureROM-generaties, inclusief degenen die worden beschermd door Pointer Authentication, subtiele hardwarefouten nog steeds kunnen worden benut om volledige code-uitvoering te bereiken en de vertrouwensketen te doorbreken”, aldus Paradigm Shift.
“De veiligheid van de BootROM is van cruciaal belang: kwetsbaarheden op dit niveau kunnen de integriteit van het hele apparaat in gevaar brengen. Hoewel usbliter8 geen invloed heeft op SEP zelf, opent het bredere aanvalsvectoren om de Secure Enclave in gevaar te brengen.”
