Eine kritische Sicherheitslücke namens WhisperPair bedroht Hunderte Millionen Bluetooth-Kopfhörer, Lautsprecher und Headsets führender Marken. Angreifer könnten die Geräte übernehmen, Gespräche abhören oder sogar Standortdaten verfolgen.
Forscher der belgischen KU Leuven haben eine schwerwiegende Schwachstelle im weit verbreiteten Google Fast Pair-Protokoll aufgedeckt. Die als kritisch eingestufte Lücke (CVE-2025-36911) ermöglicht es, Geräte von bis zu zehn großen Herstellern wie Google, Sony, JBL und Xiaomi aus bis zu 14 Metern Entfernung zu kapern – ohne jegliche Interaktion des Nutzers. Der Angriff funktioniert selbst dann, wenn die Kopfhörer gerade genutzt werden.
Das Kernproblem: Fehlerhafte Umsetzung des Standards
Die Schwachstelle liegt nicht im Bluetooth-Standard selbst, sondern in der fehlerhaften Implementierung durch die Hersteller. Das Fast Pair-Protokoll sieht eigentlich vor, dass ein Gerät nur im manuell aktivierten „Pairing-Modus“ neue Verbindungsanfragen akzeptiert. Doch zahlreiche Top-Modelle überspringen diese entscheidende Sicherheitsprüfung.
Passend zum Thema Fast Pair und fehlerhafte Firmware: Viele Nutzer übersehen, dass Sicherheitslücken oft in der Zubehör‑Firmware sitzen – nicht im Smartphone. Ein kostenloses Sicherheitspaket erklärt die 5 wichtigsten Schutzmaßnahmen für Android-Geräte und angebundene Peripherie: sichere Bluetooth‑Einstellungen, richtige App‑Prüfungen und die Firmware‑Aktualisierung über die Hersteller‑App. Mit praktischer Checkliste und Schritt‑für‑Schritt‑Anleitungen für sofortigen Schutz. Gratis Android-Sicherheits-Paket anfordern
Ein Angreifer kann so über Bluetooth Low Energy (BLE) die Verbindung erzwingen. Die Übernahme dauert in Tests im Schnitt nur zehn Sekunden. Besonders problematisch: Der Fehler steckt in der Firmware der Audio-Geräte. Ein Update des Smartphone-Betriebssystems reicht nicht aus, um die Lücke zu schließen.
Betroffene Marken: Von Sony bis Google
- Sony (WH-1000XM5, WH-1000XM6)
- Google (Pixel Buds Pro 2)
- Jabra (Elite 8 Active)
- JBL, Anker (Soundcore), Logitech, Marshall, Nothing, OnePlus und Xiaomi
Die Bedrohung betrifft sowohl Android- als auch iPhone-Nutzer, da die Schwachstelle im Zubehör selbst liegt. Die ungleichmäßige Update-Politik der Hersteller lässt viele Nutzer schutzlos zurück.
Vom Störsender zum Spionagewerkzeug
Die Folgen eines erfolgreichen Angriffs reichen von lästig bis gefährlich:
* Audio-Hijacking: Angreifer können störende oder beängstigende Töne abspielen.
* Lauschangriff: Das Mikrofon kann heimlich aktiviert werden, um Gespräche mitzuhören.
* Standortverfolgung: Noch bedrohlicher ist die Möglichkeit zur Ortung. Kann ein Gerät nicht über das Google-Konto des Besitzers gefunden werden, kann ein Angreifer es mit seinem eigenen Konto verknüpfen. So ließe sich der Standort des Nutzers über das „Find My Device“-Netzwerk verfolgen – eine Warnung würde fälschlicherweise als eigener Gerätefehler erscheinen.
Hersteller in der Pflicht – Nutzer müssen aktiv werden
Die Forscher meldeten den Fund im August 2025 an Google, das eine Belohnung von 15.000 Euro zahlte und Partner informierte. Google betonte, die Lücke gehe auf fehlerhafte Implementierungen der Hardware-Partner zurück und man habe Lösungen bereitgestellt.
Einige Hersteller wie Marshall haben bereits Firmware-Updates bereitgestellt, Google hat seine Pixel Buds gepatcht. Die Verantwortung liegt jedoch bei jedem einzelnen Unternehmen. Für Nutzer gibt es nur einen wirksamen Schutz: Sie müssen ein Firmware-Update über die offizielle App des Herstellers installieren. Das bloße Deaktivieren von Fast Pair am Smartphone hilft nicht.
Die WhisperPair-Lücke offenbart ein grundsätzliches Problem: Bei komfortorientierten Technologien werden Sicherheitschecks oft nicht streng genug umgesetzt oder überprüft. Da viele Nutzer die Hersteller-Apps selten aktualisieren, könnten Millionen Geräte dauerhaft verwundbar bleiben. Der Rat der Experten ist eindeutig: Prüfen Sie umgehend verfügbare Updates für Ihre Bluetooth-Geräte – Ihr Privatsphäre könnte davon abhängen.
PS: Ihr Kopfhörer kann zur Schwachstelle werden – aber es gibt einfache Gegenmaßnahmen. Dieses kostenlose Android‑Sicherheits‑Paket fasst fünf sofort umsetzbare Schritte zusammen, die das Risiko von Audio‑Hijacking, Lauschangriffen und Tracking deutlich verringern: Firmware‑Checks, Bluetooth‑Berechtigungen und sichere App‑Routinen. Ideal für alle, die ihre verbundenen Geräte schnell und praxisnah absichern wollen. Jetzt Android-Schutz-Paket herunterladen
