Eine neue Schwachstelle namens „WhisperPair“ ermöglicht Angreifern, Bluetooth-Kopfhörer und Lautsprecher heimlich zu übernehmen. Betroffen sind Geräte von Sony, Google, Jabra und weiteren Herstellern.
Die Sicherheitslücke, entdeckt von Forschern der belgischen KU Leuven Universität, nutzt eine fehlerhafte Implementierung von Googles Fast-Pair-Protokoll. Angreifer können sich aus bis zu 14 Metern Entfernung mit einem anfälligen Gerät verbinden – ohne dass der Nutzer etwas bemerkt. Die als kritisch eingestufte Schwachstelle (CVE-2025-36911) gewährt dann vollständige Kontrolle.
So funktioniert der heimliche Zugriff
Das Problem liegt in einem grundlegenden Sicherheitsversagen: Viele Geräte ignorieren die Vorgabe, nur im expliziten Pairing-Modus auf Verbindungsanfragen zu reagieren. „Ein Angreifer kann die Anfrage jederzeit senden, selbst wenn die Kopfhörer gerade genutzt werden oder in der Tasche stecken“, erklärt das Forschungsteam. Die unerwünschte Verbindung ist im Schnitt in nur zehn Sekunden hergestellt.
Viele Unternehmen sind auf neue Cyberbedrohungen nicht vorbereitet — Studien zeigen, dass bis zu 73% der Firmen Schwachstellen übersehen. Das kostenlose E‑Book „Cyber Security Awareness Trends“ erklärt aktuelle Gefahren (inkl. Firmware‑ und IoT‑Lücken wie WhisperPair) und liefert sofort umsetzbare Maßnahmen, mit denen IT‑Verantwortliche Risiken schnell minimieren können. Ideal für kleine und mittlere Betriebe sowie Security‑Interessierte. Der Leitfaden zeigt konkrete Prioritäten ohne teure Investitionen. Jetzt kostenloses Cyber-Security-E‑Book herunterladen
Diese systemische Schwäche betrifft eine breite Palette von Top-Modellen. Sie blieb sowohl bei internen Tests der Hersteller als auch bei Googles eigener Zertifizierung unentdeckt – ein bemerkenswerter Fehler in der Qualitätssicherung einer ganzen Branche.
Von Belästigung bis zur Ortung: Die Folgen
Die Konsequenzen reichen von lästig bis gravierend. Angreifer können störende Töne abspielen oder, weit bedrohlicher, das eingebaute Mikrofon aktivieren und Gespräche mithören. In einigen Fällen ist sogar eine Verfolgung des Nutzers möglich.
„Wenn ein noch nicht registriertes Gerät übernommen wird, kann der Angreifer es mit seinem eigenen Google-Konto verknüpfen“, so die Forscher. Über das Find-Hub-Netzwerk ließe sich dann der Standort des Kopfhörers – und damit oft des Besitzers – verfolgen. Tückisch: Erhalten Nutzer eine unerwünschte Verfolgungs-Warnung, erscheint oft ihr eigenes Gerät als Quelle, was zur fälschlichen Entwarnung führt.
Zu den bestätigten betroffenen Modellen zählen:
* Sony WH-1000XM5 & WF-1000XM5
* Google Pixel Buds Pro 2
* Jabra Elite 8 Active
* Sowie Geräte von JBL, Xiaomi, Anker Soundcore, Nothing, OnePlus und Marshall.
Hersteller in der Pflicht – Nutzer müssen aktiv werden
Die Forscher meldeten den Fund im August 2025 an Google, das eine 15.000-Dollar-Prämie zahlte und mit den Partnern an Lösungen arbeitete. Ein Google-Sprecher bestätigte, dass OEM-Partner bereits im September 2025 Lösungsvorschläge erhielten. Die Zertifizierungsprozesse wurden nachgebessert.
Doch die eigentliche Arbeit liegt nun bei den Herstellern: Sie müssen Firmware-Updates bereitstellen. Ein Update des Smartphone-Betriebssystems oder ein Reset der Kopfhörer reicht nicht aus, da die Schwachstelle in der Firmware des Zubehörs steckt. Das Fast-Pair-Protokoll kann auf den Geräten selbst nicht deaktiviert werden.
Was Nutzer jetzt tun sollten:
1. Firmware prüfen: Öffnen Sie die Hersteller-App Ihrer Kopfhörer (z.B. Sony Headphones Connect) und suchen Sie nach Updates.
2. Update sofort installieren: Falls verfügbar, installieren Sie es umgehend.
3. Hersteller-Webseite konsultieren: Informieren Sie sich dort über den Status Ihres spezifischen Modells.
Bislang gibt es keine Hinweise auf aktive Angriffe außerhalb von Laboren. Doch der Fall „WhisperPair“ unterstreicht eine grundlegende Wahrheit: In einer vernetzten Welt muss die Sicherheitspflege für alle Geräte gelten – nicht nur für Smartphones und Computer. Die Verantwortung liegt in einer Kette aus Protokoll-Designern, Geräteherstellern und am Ende auch den Nutzern selbst.
PS: Gerade bei vernetzten Kopfhörern und Smart‑Gadgets ist Firmware‑Hygiene entscheidend — oft genügt ein konsequentes Update‑Management, um Übernahmen wie bei WhisperPair zu verhindern. Dieses Gratis‑Leitfaden erklärt praxisnah, welche Schritte Sie sofort ergreifen können, von Update‑Checks bis zu einfachen Nutzer‑Tipps, damit Sie Privatsphäre und Standortschutz verbessern. Gratis‑Leitfaden „Cyber‑Security Trends“ sichern
