WhisperPair Sicherheitslücke: Eure Kopfhörer könnten euch tracken & abhören
Google Fast Pair ist eine feine Sache für die schnelle Verbindung von Zubehör, doch genau dieser Komfort wird jetzt zum Bumerang. Sicherheitsforscher haben unter dem Namen WhisperPair eine kritische Schwachstelle aufgedeckt, die es erlaubt, Bluetooth-Geräte zu kapern oder sogar den Standort zu tracken. Das betrifft nicht nur billige No-Name-Produkte, sondern Flaggschiff-Modelle quer durch die Bank.
Bluetooth-Hijacking in Sekunden
Das Problem liegt tief in der Implementierung von Google Fast Pair. Eigentlich sollten Kopfhörer oder Speaker Pairing-Anfragen ignorieren, wenn sie sich nicht explizit im Pairing-Modus befinden. Viele Geräte prüfen das aber schlichtweg nicht. Das Ergebnis: Ein Angreifer kann sich innerhalb von wenigen Sekunden (im Median 10 Sekunden) mit eurem Gerät verbinden, ohne dass ihr irgendwas dazu tut.
Ist die Verbindung erstmal da, hat der Angreifer die volle Kontrolle. Er kann laute Töne abspielen oder im schlimmsten Fall über die Mikrofone mithören. Das klingt natürlich erstmal dramatisch, ist aber in der Praxis etwas eingeschränkt. Der Angreifer muss sich dafür nämlich in Bluetooth-Reichweite befinden, also maximal etwa 14 Meter entfernt sein. Für einen gezielten Angriff ist das durchaus relevant, für die breite Masse aber wohl eher unwahrscheinlich.
Die echte Gefahr: Tracking via Find Hub Lücke
Viel kritischer sehe ich aber den zweiten Teil der Lücke, der Audio-Geräte mit Unterstützung für das Google Find Hub Netzwerk betrifft. Hier wird es nämlich richtig unangenehm, besonders für Nutzer, die ihre Bluetooth-Kopfhörer nicht mit einem Android-Gerät nutzen (zum Beispiel iPhone-User) oder sie noch nie mit einem solchen gekoppelt haben.
In diesem Szenario ist auf dem Gerät kein Account Key hinterlegt, der den Besitzer identifiziert. Ein Angreifer kann das ausnutzen, seinen eigenen Account Key schreiben und sich so quasi als „Besitzer“ registrieren. Ab diesem Moment kann er den Standort eures Gadgets über das Find My Device Netzwerk verfolgen – und das funktioniert dann auch außerhalb der Bluetooth-Reichweite. Ihr merkt davon im Zweifel nichts, oder bekommt erst Tage später eine Warnung, die fälschlicherweise euer eigenes Gerät anzeigt. Das ist meiner Ansicht nach das deutlich größere Sicherheitsrisiko.
Hier könnt ihr überprüfen, ob euer Gerät betroffen ist »
Update-Pflicht für Hersteller
Die Lücke, die unter der Kennung CVE-2025-36911 läuft, ist Google bereits seit August 2025 bekannt. Da es sich um Fehler in der Implementierung auf den Geräten handelt, kann Google das nicht einfach zentral beheben. Die Hersteller müssen jetzt nach und nach Softwareupdates bereitstellen.
Ob euer Gerät betroffen ist, könnt ihr auf der Website der Forscher überprüfen. Da Google Fast Pair nicht einfach deaktiviert werden kann, bleibt euch eigentlich nur der Weg über das Update der Firmware. Es ist schon ärgerlich, dass solche Fehler trotz Zertifizierungsprozessen durchrutschen, aber so ist das halt manchmal bei komplexen Standards.
Wer betroffen ist, sollte also dringend nach Updates suchen. Checkt am besten direkt beim Hersteller oder in der Begleit-App, ob eine neue Version verfügbar ist.
Hier geht's zum GadgetWenn du über einen Link auf dieser Seite ein Produkt kaufst, erhalten wir oftmals eine kleine Provision als Vergütung. Für dich entstehen dabei keinerlei Mehrkosten und dir bleibt frei wo du bestellst. Diese Provisionen haben in keinem Fall Auswirkung auf unsere Beiträge. Zu den Partnerprogrammen und Partnerschaften gehört unter anderem eBay und das Amazon PartnerNet. Als Amazon-Partner verdienen wir an qualifizierten Verkäufen.
Kommentar schreiben