Im Zentrum der Aktualisierung steht die Schwachstelle CVE-2025-20701. Apple teilte in einem Sicherheitshinweis mit, dass ein Angreifer in Bluetooth-Reichweite „über das Mikrofon eines Geräts mithören kann, das noch nicht gekoppelt ist und aktiv nach Pairing-Anfragen sucht“. Das Unternehmen ergänzt, dass die betroffene Software auf Open-Source-Code basiert und Apple Software zu den betroffenen Projekten gehört.

Den Fehler schließt Apple mit dem Beats Firmware Update 1B211. Die Aktualisierung wird laut Hersteller automatisch auf verwundbare Kopfhörer übertragen, wenn diese mit dem iPhone, iPad oder Mac eines Nutzers gekoppelt sind und sich in Bluetooth-Reichweite befinden. Den installierten Firmware-Stand können Nutzer in den Bluetooth-Einstellungen ihres Geräts über die Informationstaste neben den Kopfhörern kontrollieren.

Entdeckt wurde CVE-2025-20701 von Dennis Heinze und Frieder Steinmetz von ERNW GmbH im Airoha-System-on-a-Chip. Als die Forscher die Lücke vor einem Jahr auf der Sicherheitskonferenz TROOPERS in Deutschland offenlegten, erklärten sie, die Ursache liege in einer fehlenden Authentisierung im Bluetooth-BR/EDR-Funkmodul.

ERNW entwickelte zudem einen Proof-of-Concept-Exploit, mit dem sich ein Anruf initiieren lässt, um Gespräche in Hörweite des angegriffenen Telefons mitzuschneiden. Nach Angaben der Forscher lässt sich CVE-2025-20701 außerdem mit zwei weiteren Schwachstellen in derselben betroffenen Komponente kombinieren: CVE-2025-20700 und CVE-2025-20702.

In dieser Kette können Angreifer über das Bluetooth-Hands-Free-Profile Kommandos an das Telefon senden, nachdem sie die Verbindung zwischen dem Telefon und einem bereits gekoppelten Bluetooth-Audiogerät übernommen haben. ERNW warnte: „In den meisten Fällen erlauben diese Schwachstellen Angreifern, die Kopfhörer über Bluetooth vollständig zu übernehmen. Weder Authentisierung noch Kopplung sind erforderlich.“ Auslösen lasse sich das über Bluetooth BR/EDR oder Bluetooth Low Energy; die einzige Voraussetzung sei Bluetooth-Reichweite.

Die Forscher erklärten weiter, dass sich Arbeitsspeicher und Flash-Speicher des Geräts lesen und schreiben lassen. Außerdem gelang es ihnen, aus dem Speicher eines anfälligen Geräts Bluetooth-Link-Schlüssel zu extrahieren. Damit konnten sie den Anrufverlauf und Kontakte auslesen und sogar eine beliebige Rufnummer anwählen.

Wie weit die verfügbaren Befehle reichen, hängt laut ERNW vom mobilen Betriebssystem ab. Allerdings unterstützten alle großen Plattformen mindestens das Starten und Annehmen von Anrufen. Zugleich schränkten die Forscher ein, dass echte Angriffe komplex umzusetzen seien und wegen des technischen Aufwands sowie der nötigen physischen Nähe wahrscheinlich vor allem auf hochwertige Ziele abzielen würden.