Sicherheitsforscher entdecken eine gravierende Schwachstelle im weit verbreiteten Google Fast Pair-Protokoll. Angreifer können Bluetooth-Kopfhörer in Sekunden kapern, Gespräche belauschen und Nutzer verfolgen. Millionen Geräte beliebter Marken sind betroffen.
Das 10-Sekunden-Leck: So funktioniert „WhisperPair“
Das Kernproblem mit der CVE-2025-36911 getauften Lücke liegt nicht im Bluetooth-Standard selbst, sondern in einer fehlerhaften Umsetzung durch die Hersteller. Viele betroffene Geräte ignorieren eine entscheidende Sicherheitsprüfung.
Normalerweise sollte ein Gerät Kopplungsanfragen nur im manuell aktivierten Kopplungsmodus akzeptieren. Zahlreiche Kopfhörer überspringen diesen Schritt jedoch. Sie akzeptieren Anfragen blind, solange sie eingeschaltet sind.
Aktuelle Angriffe wie „WhisperPair“ machen deutlich, wie schnell Bluetooth‑Zubehör zu einem Einfallstor für Spionage und Stalking werden kann. Wer sich schützt, braucht nicht nur Technik‑Wissen, sondern praktische Checklisten für Firmware‑Updates, Konfigurationsprüfungen und Verhaltensempfehlungen. Der kostenlose Cyber‑Security‑Report erklärt diese Gefahren verständlich, zeigt sofort umsetzbare Maßnahmen für Privatnutzer und Unternehmen und bietet eine Update‑Checkliste für Kopfhörer & Co. Gratis Cyber-Security-Report herunterladen
In Tests übernahmen Forscher der KU Leuven die Kontrolle über fremde Geräte in nur zehn Sekunden. Die Reichweite beträgt bis zu 14 Meter. Ein Angreifer im selben Zugabteil oder Nachbarbüro kann so unbemerkt eine Verbindung herstellen.
Lauscher an der Wand: Abhören und Verfolgen möglich
Die Konsequenzen eines erfolgreichen Angriffs sind gravierend. Der Angreifer erhält vollen Zugriff auf die Audiofunktionen des gekaperten Geräts.
Das bedrohlichste Szenario: Angreifer können die hochwertigen Mikrofone für Noise-Cancelling und Telefonie als Abhörwanzen missbrauchen. So zeichnen sie Gespräche in der Umgebung auf. Zudem ist die Manipulation der Audiowiedergabe möglich.
Besonders alarmierend ist die Stalking-Gefahr über Googles „Find My Device“-Netzwerk. Angreifer können ein gekapertes Gerät mit ihrem eigenen Google-Konto verknüpfen. Der Standort des Opfers wird dann permanent übermittelt.
Ironischerweise sind Nutzer von iPhones oder Windows-Laptops hier besonders gefährdet. Das Eigentümer-Feld auf dem Chip ist oft leer und kann einfach überschrieben werden.
Betroffene Marken: Von Sony bis Google
Die Schwachstelle zieht sich quer durch das Audio-Ökosystem. Der Fehler liegt in Firmware-Bausteinen, die viele Hersteller nutzen. Betroffen sind laut Bericht unter anderem:
- Sony (inklusive Modelle der WH-1000X Serie)
- JBL
- Nothing und OnePlus
- Xiaomi
- Logitech
- Marshall und Soundcore
Selbst Google ist nicht immun: Die eigenen Pixel Buds Pro 2 waren anfällig. Alle Geräte hatten interne Qualitätskontrollen und den offiziellen Google-Zertifizierungsprozess durchlaufen – ohne dass die Lücke auffiel.
Systemversagen: Zertifizierung schlägt fehl
Branchenbeobachter werten „WhisperPair“ als signifikantes Versagen der Qualitätssicherung. Dass Millionen Geräte eine so grundlegende Sicherheitsregel missachten, wirft Fragen auf.
Google wurde bereits im August 2025 informiert und stufte die Lücke als kritisch ein. Das Unternehmen lieferte Patches für seine Pixel-Geräte und passte das „Find My Device“-Netzwerk an. Forscher umgingen den Netzwerk-Patch jedoch bereits.
Die Update-Situation ist bei Bluetooth-Zubehör komplex. Firmware-Updates für Kopfhörer erfordern oft eine spezielle Hersteller-App und manuelle Aktivierung durch den Nutzer. Viele Anwender tun dies nie. Millionen Geräte könnten noch jahrelang anfällig bleiben.
Was Nutzer jetzt tun können
Die Verantwortung liegt nun bei den Hardware-Herstellern, korrigierte Firmware bereitzustellen. In den kommenden Wochen sind Update-Ankündigungen zu erwarten.
Sicherheitsexperten raten Nutzern dringend:
* Die Begleit-App des Kopfhörer-Herstellers installieren.
* Sofort nach verfügbaren Firmware-Updates suchen.
Bietet ein Hersteller keine Updates an, gibt es kaum effektiven Schutz. Die Fast-Pair-Funktion lässt sich auf betroffenen Geräten meist nicht deaktivieren. In sensiblen Umgebungen bleibt vorerst nur der Verzicht auf die betroffene Hardware.
Langfristig dürfte „WhisperPair“ Google zwingen, die Zertifizierungsrichtlinien für Fast Pair massiv zu verschärfen. Komfort darf nicht wieder auf Kosten der grundlegenden Sicherheit gehen.
PS: Übrigens: Wenn Sie konkrete Schritte suchen, um Geräte vor solchen Angriffen zu schützen, lohnt sich ein Blick in den kostenlosen Leitfaden „Cyber Security Awareness Trends“. Er fasst neue Angriffsvektoren wie kaputte Fast‑Pair‑Implementierungen, aktuelle rechtliche Entwicklungen und leicht umsetzbare Schutzmaßnahmen zusammen. Inklusive praktischer Checkliste für Firmware‑Updates und Sicherheitsregeln, die auch Nicht‑IT‑Verantwortliche sofort anwenden können. Jetzt kostenlosen Cyber‑Security‑Guide sichern
