Apple heeft een Bluetooth-beveiligingslek in de Beats Studio Buds verholpen waardoor je oordopjes mogelijk als afluisterapparaat in de buurt konden worden gebruikt.
Als je een paar Bluetooth-oordopjes koopt, verwacht je dat ze jouw muziek en telefoongesprekken afspelen – en niet die van iemand anders. Maar een kwetsbaarheid in de Beats Studio Buds van Apple laat zien hoe dat vertrouwen kan worden misbruikt, waardoor alledaagse audioapparatuur verandert in een potentieel afluisterinstrument voor iedereen die dichtbij genoeg is en vaardig genoeg om er misbruik van te maken.
De kwetsbaarheid is geregistreerd onder het nummer CVE-2025-20701. Onderzoekers hebben in 2025 tijdens een beveiligingsconferentie in Duitsland kwetsbaarheden in Airoha-system-on-a-chip (SoC)-apparaten aan het licht gebracht. Aangezien Airoha-chips in een breed scala aan audioproducten worden gebruikt, had het probleem gevolgen voor meerdere apparaten, waaronder de Beats Studio Buds.
De onderzoekers lieten ook zien hoe de kwetsbaarheid kon worden gecombineerd met kwetsbaarheden die zij in hetzelfde Airoha-onderdeel hadden ontdekt. Door deze kwetsbaarheden aan elkaar te koppelen, zouden aanvallers het volgende kunnen doen:
- Meeluisteren via de microfoons van de koptelefoon.
- Haal de koppelingssleutels eruit.
- Zich voordoen als een vertrouwde hoofdtelefoon.
- Hack de telefoon van de gebruiker, waardoor het mogelijk wordt om gesprekken te kapen, contactgegevens te stelen, spraakassistenten te activeren en nog veel meer.
Het goede nieuws is dat deze aanvallen niet eenvoudig uit te voeren zijn. Het misbruik ervan is complex en de aanvaller moet zich binnen het Bluetooth-bereik van het doelapparaat bevinden.
In feite is CVE-2025-20701 een kwetsbaarheid in het authenticatieproces die van invloed is op apparaten die nog niet zijn gekoppeld en actief op zoek zijn naar een apparaat om verbinding mee te maken. In een normaal scenario doorlopen je koptelefoon en je telefoon een koppelingsproces waarbij sleutels en vertrouwen worden vastgesteld, voordat gevoelige handelingen – zoals het gebruik van de microfoon – worden toegestaan.
In dit geval controleerden apparaten in de koppelingsmodus niet goed met wie ze communiceerden. Daardoor ontstond er een kwetsbaarheid waardoor een aanvaller in de buurt zich kon voordoen als een legitieme partner en verbinding kon maken met de oordopjes voordat de gebruiker het koppelingsproces had voltooid.
Zoals Apple het omschrijft:
“Een aanvaller die zich binnen het Bluetooth-bereik bevindt, kan mogelijk meeluisteren via de microfoon van een apparaat dat nog niet is gekoppeld en actief op zoek is naar koppelingsverzoeken.”
Hoe blijf ik veilig
Om dit beveiligingslek te verhelpen, heeft Apple de Beats-firmware-update 1B211 uitgebracht, die automatisch wordt geïnstalleerd zodra de oordopjes in de buurt zijn van en verbonden zijn met een iPhone, iPad of Mac.
Voor de gemiddelde gebruiker betekent de noodzaak van fysieke nabijheid, gespecialiseerde hardware en software, en een zekere mate van geduld dat opportunistische criminelen eerder zullen volhouden met phishing en credential stuffing dan dat ze in openbare ruimtes op Bluetooth-signalen gaan jagen.
Maar voor een gemotiveerde aanvaller die het op een prominente persoon heeft gemunt, is dit precies het soort kwetsbaarheid dat hij zou gebruiken.
Er is geen knop ‘Nu bijwerken’, maar als je Beats Studio Buds hebt en deze gebruikt met een iPhone, iPad of Mac, zou je de update automatisch moeten ontvangen wanneer:
- De oordopjes zijn gekoppeld aan je Apple-apparaat
- Ze zitten in hun oplaaddoosje, met het deksel dicht
- De oplaadcase en de oordopjes hebben voldoende batterij, en het Apple-apparaat bevindt zich in de buurt en Bluetooth is ingeschakeld
Om te controleren of je gedekt bent:
- Ga op iOS iPadOS naar Instellingen > Bluetooth
- Tik op het info -pictogram naast je Beats Studio Buds
- Kijk naar het firmware- of versienummer. Als de beveiligingsupdate is geïnstalleerd, zou daar 1B211 moeten staan. Als er iets anders staat, hebben je oordopjes de update mogelijk nog niet ontvangen. Als je een oudere versie ziet, laat de oordopjes Mac tijdje in hun oplaadcase bij je iPhone, iPad of Mac liggen, zodat ze de tijd krijgen om te updaten. Dit kan even duren en gebeurt mogelijk onopgemerkt op de achtergrond, dus het is de moeite waard om later nog eens te controleren.
Oplichters weten meer over je dan je denkt.
Malwarebytes Mobile Security je tegen phishing, oplichtings-sms’jes, schadelijke websites en nog veel meer. Met de ingebouwde, door AI aangestuurde Scam Guard die in realtime werkt.
