Alvorlig Bluetooth-sårbarhed i hovedtelefoner

Bluetooth-hovedtelefoner ramt af alvorlig sikkerhedsbrist

3. januar 2026

Sikkerhed – IT-beskyttelse mod malware, hacking og datalæk, Sikkerhed og privatliv – Beskyttelse af dine data og identitet

Opdater din firmware – også selvom “alt virker”

En nyligt offentliggjort sikkerhedsafsløring viser, at millioner af Bluetooth-hovedtelefoner fra kendte producenter kan misbruges som adgangsvej til din telefon – uden pairing, uden advarsler og uden brugerinteraktion.

Sårbarheden blev fremlagt offentligt den 27. december 2025 på 39C3 (Chaos Communication Congress) og rammer produkter, der benytter Bluetooth-chips fra Airoha.

Hvad er problemet?

I mange produkter er Airohas interne RACE-debug-protokol aldrig blevet deaktiveret efter produktion. Protokollen var tiltænkt test og firmware-opdatering på fabrikken – ikke færdige forbrugerprodukter.

Det betyder i praksis:

En angriber inden for ca. 10 meters afstand kan forbinde uden godkendelse
Forbindelsen sker lydløst, uden popup eller advarsel
Bluetooth-nøgler kan udtrækkes og kopieres
Hovedtelefonens identitet kan klones

Telefonen tror stadig, den forbinder til dine egne hovedtelefoner – og stoler på forbindelsen.

De berørte CVE’er

CVE-2025-20700 – Manglende autentificering via Bluetooth Low Energy
CVE-2025-20701 – Manglende autentificering via Bluetooth Classic
CVE-2025-20702 – Debug-protokol eksponeret i produktionsenheder

Hvad kan en angriber gøre?

Hvis sårbarheden udnyttes, kan en angriber bl.a.:

Aktivere telefonens mikrofon
Lytte med på opkald
Foretage opkald (også til betalte numre)
Aktivere Siri / Google Assistant
Læse opkaldshistorik
Få adgang til kontakter
I visse demonstrationer: overtage konti (bl.a. WhatsApp)

Alt sammen uden at røre din telefon.

Kendte sårbare modeller (udvalg)

Sony: WH-1000XM4, WH-1000XM5, WH-1000XM6, WF-1000XM5, LinkBuds S
Bose: QuietComfort Earbuds
Marshall: Major V, Minor IV, Acton III, Stanmore III
JBL: Live Buds 3, Endurance Race 2
Jabra: Elite 8 Active (patch udgivet)
Beyerdynamic, Teufel, JLab

Ikke berørt: Apple AirPods

Listen er ikke komplet. Airoha-chips bruges i hundredvis af produkter, ofte via underleverandører.

Status på patches

Airoha leverede rettelser til producenter 4. juni 2025
Mange producenter har været langsomme til at reagere
Firmware-opdateringer kræver typisk producentens app
Mange brugere åbner aldrig appen igen efter første opsætning

Hvad bør du gøre nu?

Opdatér firmware via producentens officielle app
Fjern gamle Bluetooth-parringer på telefonen
Slå Bluetooth fra, når det ikke bruges
Hvis du er et højt prioriteret mål: brug kablede hovedtelefoner

Links til officielle firmware- og supportsider

Sony
https://www.sony.dk/electronics/support
(Opdatering sker via Sony Headphones Connect)

Bose
https://www.bose.com/support
(Opdatering via Bose Music App)

Marshall
https://support.marshallheadphones.com
(Opdatering via Marshall Bluetooth App)

JBL
https://support.jbl.com
(Opdatering via JBL Headphones App)

Jabra
https://www.jabra.dk/support
(Opdatering via Jabra Sound+)

Beyerdynamic
https://www.beyerdynamic.de/service-support
(Opdatering via producentens software)

Teufel
https://support.teufel.de
(Opdatering via Teufel Headphones App)

JLab
https://www.jlab.com/pages/support
(Opdatering via JLab App)

Afsluttende bemærkning

Sikkerhed handler ikke kun om computere og telefoner. Når trådløst udstyr bliver mere komplekst, bliver det også en del af dit angrebsoverflade-landskab.

Firmware-opdateringer er ikke “nice to have”.
De er en del af grundlæggende digital hygiejne.

Hvis du vil have hjælp til at gennemgå dit udstyr eller sikre dine enheder bedre, er du velkommen til at kontakte Garbæk IT.

Skriv et svar Annuller svar

Du skal være logget ind for at skrive en kommentar.