Eine neu entdeckte Schwachstelle im Protokoll Google Fast Pair mit der Kennung CVE-2025-36911 – von Forschern „WhisperPair“ genannt – erlaubt es Angreifern, die Kontrolle über Millionen Bluetooth-Kopfhörer und -Lautsprecher zu übernehmen. Die Angriffsszenarien reichen von unbemerkter Mikrofonaktivierung bis hin zur verdeckten Standortverfolgung von Nutzern.
Google Fast Pair: Komfortfunktion mit Sicherheitsrisiko
Google Fast Pair ist ein proprietäres Protokoll, das das Koppeln kompatibler Bluetooth-Geräte mit einem Android-Smartphone stark vereinfacht. Befindet sich ein unterstütztes Headset in der Nähe, erscheint automatisch ein Dialog zum Verbinden – ein Antippen genügt. Diese Benutzerfreundlichkeit führte dazu, dass Fast Pair in hunderten Millionen Kopfhörern und Lautsprechern verschiedenster Hersteller implementiert wurde.
Die Schwachstelle betrifft jedoch nicht das Smartphone, sondern die Accessoires selbst. Damit sind nicht nur Android-Nutzer gefährdet: Jedes Endgerät – einschließlich iPhones, Laptops oder Tablets – kann mit einem kompromittierten Bluetooth-Headset verbunden sein, während Angreifer gleichzeitig heimlich Zugriff auf dasselbe Accessoire erhalten.
Technischer Hintergrund der WhisperPair-Sicherheitsluecke
Fehlerhafte Umsetzung der Fast-Pair-Spezifikation
Die offizielle Spezifikation von Google Fast Pair verlangt, dass ein Accessoire Verbindungsanfragen ignoriert, solange es sich nicht im expliziten Pairing-Modus befindet. Dieser Modus wird üblicherweise durch einen Knopfdruck am Ladecase oder am Gerät aktiviert und signalisiert, dass der Nutzer bewusst ein neues Gerät koppeln möchte.
Die Analyse des COSIC-Teams der Katholischen Universität Leuven zeigt jedoch, dass zahlreiche Hersteller diese Anforderung unvollständig oder gar nicht implementiert haben. In vielen Modellen wird der Pairing-Status nicht korrekt geprüft. Das Gerät beantwortet daher Fast-Pair-Anfragen, obwohl der Benutzer keinen Pairing-Vorgang gestartet hat.
Im Angriffsszenario sendet ein Angreifer (Seeker) eine Fast-Pair-Anfrage an den Kopfhörer oder Lautsprecher (Provider). Statt die Anfrage zu verwerfen, antworten betroffene Geräte und erlauben es, den Vorgang bis hin zum regulären Bluetooth-Pairing fortzusetzen – vollkommen ohne Benutzerinteraktion.
Angriffsdurchführung mit Standard-Hardware
Für die Ausnutzung von WhisperPair genügen handelsübliche Geräte mit Bluetooth-Funktion, etwa ein Notebook, ein Smartphone oder ein Einplatinencomputer wie ein Raspberry Pi. Innerhalb einer Distanz von rund 10–15 Metern kann der Angreifer versuchen, zwanghaft eine Kopplung mit verwundbaren Accessoires herzustellen.
Betroffen sind nach derzeitigem Stand Produkte namhafter Marken wie Google, Jabra, JBL, Logitech, Marshall, Nothing, OnePlus, Sony, Soundcore, Xiaomi und weiterer Hersteller, die Fast Pair integrieren. Weder eine Aktion des Benutzers noch physischer Zugriff auf die Geräte sind erforderlich – die bloße Bluetooth-Reichweite genügt.
Mögliche Angriffe: Von Bluetooth-Entführung bis verdeckter Ortung
Nach erfolgreichem, für den Nutzer unsichtbarem Pairing erhält der Angreifer umfangreiche Kontrolle über das Audiogerät. Er kann sich vordrängen und eine bestehende Verbindung unterbrechen, den Lautstärkepegel manipulieren oder Störgeraeusche einspielen, um den Nutzer abzulenken.
Besonders kritisch ist die Möglichkeit, das Mikrofon der Kopfhörer oder Lautsprecher unauffällig zu aktivieren. In Büros, Konferenzräumen, Co-Working-Spaces oder Homeoffices werden über Bluetooth-Headsets regelmäßig vertrauliche Gespräche geführt – von Unternehmensstrategien über Verhandlungsdetails bis hin zu personenbezogenen Daten. Ein kompromittiertes Headset kann hier zu einem effektiven Abhörwerkzeug werden.
Zusätzlich eröffnet WhisperPair einen Tracking-Vektor: Unerstmals gekoppelte Fast-Pair-Geräte lassen sich unter bestimmten Bedingungen in das Konto eines Angreifers einbinden und über vernetzte Ortungsfunktionen als inoffizielle Tracker verwenden. Nutzer erhalten möglicherweise erst mit deutlicher Verzögerung eine Warnung – und die Meldung erscheint oft so, als würde das eigene Gerät unregelmäßig erkannt, was leicht als technischer Fehler abgetan werden kann.
Betroffene Geraete, CVE-Registrierung und Reaktion der Industrie
Die Forscher gehen davon aus, dass weltweit Hunderte Millionen Bluetooth-Kopfhörer und -Lautsprecher verwundbar sind. Ähnliche Vorfälle – etwa die Angriffe BlueBorne oder KNOB auf den klassischen Bluetooth-Stack – haben bereits gezeigt, dass Sicherheitsmängel in weit verbreiteten Funkprotokollen zu Vorfallsketten mit globaler Reichweite führen können.
Google hat die Schwachstelle offiziell als CVE-2025-36911 registriert, den Forschern die höchste Bug-Bounty-Belohnung von 15.000 US‑Dollar ausgezahlt und in Zusammenarbeit mit den Herstellern Firmware-Updates vorbereitet. Wie üblich im IoT-Bereich zeichnet sich jedoch ab, dass ältere oder günstige Modelle vermutlich keine Patches mehr erhalten – ein strukturelles Problem der IoT-Security.
Praxisempfehlungen: So schützen Sie Ihre Bluetooth-Headsets vor WhisperPair
Die zentrale Schutzmaßnahme besteht darin, Firmware-Updates der jeweiligen Hersteller zeitnah zu installieren. Nutzer sollten regelmäßig die zugehörigen Apps (z. B. von JBL, Sony, Jabra) oder die Systemeinstellungen auf verfügbare Aktualisierungen prüfen, insbesondere bei Geräten mit integrierter „Over-the-Air“-Updatefunktion.
Wichtig ist: Das Abschalten von Google Fast Pair auf dem Android-Smartphone beseitigt die Schwachstelle nicht, da der Fehler in der Firmware des Accessoires liegt. Selbst wenn Fast Pair am Telefon deaktiviert ist, kann ein angreifbares Headset weiterhin von einem externen Angreifer gekoppelt werden.
Als zusätzliche Vorsichtsmaßnahmen empfiehlt es sich, Bluetooth-Accessoires in öffentlichen Bereichen nicht unbeaufsichtigt zu lassen, auf plötzliche Verbindungsabbrueche oder unerwartete Lautstärkeänderungen zu achten und regelmäßig die Liste der gekoppelten Geräte zu prüfen und unbekannte Einträge zu entfernen. Organisationen sollten Bluetooth-Geräte explizit in ihre Asset-Inventarisierung und Patchprozesse aufnehmen und beim Einkauf auf transparente Sicherheits- und Update-Politiken achten.
WhisperPair (CVE-2025-36911) führt vor Augen, dass scheinbare Nebenrollen im IT-Ökosystem – wie Kopfhörer oder Lautsprecher – zu kritischen Angriffsvektoren werden können. Wer Firmware-Updates konsequent einspielt, Sicherheitswarnungen ernst nimmt und beim Gerätekauf auf langfristige Supportzusagen achtet, reduziert das Risiko erheblich – sowohl für private Anwender als auch für Unternehmen, die täglich auf drahtlose Audiogeräte angewiesen sind.
