Sicherheitsforscher haben eine kritische Schwachstelle im Google Fast Pair-Ökosystem entdeckt.
WhisperPair: Sicherheitslücke in Google Fast Pair
Die unter dem Namen WhisperPair bekannt gewordene Lücke ermöglicht es Angreifern in Bluetooth-Reichweite, drahtloses Zubehör wie Kopfhörer oder Lautsprecher zu kapern, teils sogar ohne Wissen der Nutzer. Betroffen sind nicht nur Android-Anwender, sondern potenziell alle Nutzer, deren Zubehör eine fehlerhafte Fast-Pair-Implementierung nutzt.
Kontrolle über Kopfhörer und Mikrofone möglich
Der Kern des Problems liegt nicht im Bluetooth-Standard selbst, sondern in der Umsetzung von Fast Pair durch viele Hersteller. Laut den Forschern überspringen zahlreiche Geräte einen eigentlich vorgeschriebenen Schritt im Kopplungsprozess. Zubehör sollte Verbindungsanfragen nur dann akzeptieren, wenn es sich aktiv im Pairing-Modus befindet. In der Praxis ignorieren viele Geräte diese Prüfung und nehmen Kopplungsversuche dennoch an.
Ein Angreifer kann so innerhalb weniger Sekunden, eine Verbindung herstellen. Gelingt dies, erhält er vollständigen Zugriff auf die Audioausgabe und das Mikrofon des Geräts. Damit lassen sich Inhalte abspielen oder Gespräche mithören.
Bild: Google
Missbrauch für Tracking über Googles Netzwerk
Zusätzlich besteht ein Risiko beim Find-My-Device-Netzwerk. Wird ein Bluetooth-Zubehör ausschließlich mit Nicht-Android-Geräten genutzt, bleibt der sogenannte „Account Key“ oft leer. In diesem Fall kann ein Angreifer das Zubehör mit dem eigenen Google-Konto verknüpfen und so als vermeintlicher Eigentümer registrieren. Das ermöglicht ein Tracking über Googles Netzwerk, ohne dass der eigentliche Nutzer dies sofort bemerkt. Warnhinweise werden zwar angezeigt, lassen sich jedoch leicht als Fehlalarm missverstehen.
Viele Hersteller betroffen
Die Schwachstelle wurde unter der Kennung CVE-2025-36911 erfasst und bereits im August 2025 an Google gemeldet. Die Entdecker erhielten im Rahmen des Bug-Bounty-Programms eine Prämie von 15.000 US-Dollar. Untersuchungen zeigen, dass zahlreiche bekannte Marken betroffen sind, darunter Produkte von Sony, JBL, Jabra, Xiaomi, Nothing, OnePlus, Logitech, Soundcore und sogar Google selbst. Die betroffenen Geräte hatten trotz Zertifizierungsprozessen den Markt erreicht.
Updates entscheidend
Da die Schwachstelle in der Firmware der Zubehörteile liegt, kann sie nur durch Software-Updates der jeweiligen Hersteller behoben werden. Google hat eigene Fixes ausgerollt und arbeitet nach eigenen Angaben mit Partnern an weiteren Patches. Einige Hersteller haben bereits Updates angekündigt oder veröffentlicht, bei anderen stehen diese noch aus.
Nutzern wird dringend empfohlen, zu prüfen, ob ihre Bluetooth-Geräte betroffen sind oder aktuelle Firmware-Updates verfügbar sind. Ohne entsprechende Aktualisierungen bleibt das Risiko bestehen, dass Zubehör unbemerkt übernommen oder für das Tracking missbraucht wird.
SmarthomeAssistent Community | Im Forum gibt's Hilfe & Austausch!
Du hast offene Fragen und findest dazu auf dem Blog keine Antwort? Du möchtest dich einfach mal mit anderen Leuten austauschen oder willst dein neuestes Projekt vorstellen? Dann schau doch mal in unserem kostenlosen Community-Forum vorbei! Dort hast du die Möglichkeit, Antworten auf deine Fragen zu bekommen oder kannst dich auch direkt als aktives Mitglied einbringen. Wir und alle anderen User freuen uns auf dich und heißen dich schon jetzt „Herzlich Willkommen"!
Hinterlasse uns einen Kommentar
Mit der Nutzung dieses Formulars, erklärst du dich mit der Speicherung und Verarbeitung deiner Daten durch diese Website einverstanden. Weitere Informationen kannst du der Datenschutzerklärung entnehmen.