Eine schwere Sicherheitslücke namens „WhisperPair“ erlaubt es Angreifern, Bluetooth-Kopfhörer zu kapern. Die Schwachstelle im weit verbreiteten Google Fast Pair-Protokoll ermöglicht es, Geräte unbemerkt zu übernehmen, Nutzer zu orten und Gespräche abzuhören. Entdeckt wurde sie von Sicherheitsforschern der belgischen KU Leuven.
So funktioniert der unsichtbare Angriff
Das Problem liegt in einer fehlerhaften Umsetzung des Standards durch viele Hersteller. Fast Pair soll das Koppeln von Kopfhörern per Fingertipp vereinfachen. Eigentlich dürfte ein Gerät nur Anfragen annehmen, wenn es sich im manuell aktivierten Kopplungsmodus befindet.
Doch viele Geräte verzichten auf diese Prüfung. So kann ein Angreifer eine erzwungene Kopplung aus bis zu 14 Metern Entfernung erzwingen – innerhalb weniger Sekunden und komplett unbemerkt vom Besitzer. Die Komfortfunktion wird so zum Einfallstor.
Sicherheitslücken wie „WhisperPair“ zeigen, wie einfach Angreifer Kopfhörer kapern, Gespräche abhören und Nutzer orten können. Das kostenlose E-Book „Cyber Security Awareness Trends“ erklärt aktuelle Bedrohungen — auch Angriffe auf Bluetooth- und IoT-Geräte — und liefert praxisnahe Schutzmaßnahmen, die Sie sofort umsetzen können. Mit klaren Checklisten für Firmware-Updates, Geräteabsicherung und Nutzerverhalten reduzieren Sie das Risiko ohne hohen Aufwand. Jetzt kostenloses Cyber-Security-E-Book herunterladen
Betroffen: Von Sony bis Google – auch iPhone-Nutzer
Die Liste anfälliger Geräte liest sich wie ein Who-is-who der Branche:
* Sony WH-1000XM6 und WH-1000XM5
* Google Pixel Buds Pro 2
* JBL Tune Beam
* Xiaomi Redmi Buds 5 Pro
* Nothing Ear (a)
Das Kernproblem sitzt in der Firmware der Kopfhörer selbst, nicht im Smartphone-Betriebssystem. Deshalb sind auch iPhone-Nutzer gefährdet, sofern sie betroffenes Zubehör verwenden. Die Funktion lässt sich am Kopfhörer nicht deaktivieren.
Spionage und Tracking – mehr als nur Störung
Die Konsequenzen eines erfolgreichen Angriffs sind gravierend. Angreifer können das Mikrofon aktivieren und private Gespräche mithören.
Besonders brisant: Die Ortungsfunktion. War ein betroffenes Headset noch nie mit einem Android-Gerät gekoppelt, kann es ein Angreifer über Googles „Find Hub Network“ (in Deutschland „Mein Gerät finden“) verfolgen. So lassen sich Bewegungsprofile erstellen. Nutzer könnten eine Tracking-Benachrichtigung erhalten, sie aber als Softwarefehler abtun.
Hersteller arbeiten an Patches – Nutzer müssen aktiv werden
Die Lücke, offiziell als CVE-2025-36911 geführt, zeigt die Risiken von Komfortfunktionen. Das deutsche Bürger-CERT stuft das Risiko als hoch ein. Google arbeitet mit Herstellern an Lösungen und hat die Entdecker bereits belohnt.
Doch die Patch-Verteilung ist komplex: Dutzende Hersteller müssen Updates für Hunderte Gerätemodelle bereitstellen. Die einzige wirksame Schutzmaßnahme ist daher, Firmware-Updates der Kopfhörer-Hersteller umgehend zu installieren. Nutzer sollten die Support-Apps und -Websites regelmäßig auf Aktualisierungen überprüfen.
