WhisperPair: Kritische Bluetooth-Lücke bedroht Millionen Kopfhörer

Eine neu entdeckte Sicherheitslücke namens „WhisperPair“ gefährdet Hunderte Millionen kabellose Kopfhörer und Lautsprecher weltweit. Angreifer können Geräte kapern, Gespräche mithören und Nutzer orten.

Berlin. Sicherheitsexperten schlagen Alarm: Eine schwere Designschwäche im weit verbreiteten Google Fast Pair-Protokoll öffnet Tür und Tor für Angriffe auf Bluetooth-Audiogeräte. Die als „WhisperPair“ (CVE-2025-36911) identifizierte Lücke ermöglicht es, Geräte auch im Normalbetrieb zu koppeln – ohne jede Bestätigung durch den Nutzer. Das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) stuft das Risiko als hoch ein und hat eine Warnung veröffentlicht.

Wie der Angriff funktioniert

Normalerweise muss ein Nutzer sein Headset aktiv in den Kopplungsmodus versetzen. Die Schwachstelle umgeht diesen Schutz. Ein Angreifer in der Nähe – typischerweise innerhalb von etwa zehn Metern – kann eine manipulierte Bluetooth-Anfrage senden. Fehlende kryptografische Prüfungen in der Geräte-Firmware lassen diese durch.

Passend zum Thema vernetzte Audiogeräte und IoT: Viele Angriffe wie „WhisperPair“ zeigen, dass selbst einfache Geräte zur Einfallspforte für Cyberkriminelle werden. Der kostenlose Leitfaden „Cyber Security Awareness Trends“ erklärt die wichtigsten aktuellen Bedrohungen und liefert praxisnahe Schutzmaßnahmen – von sicheren Firmware-Update-Prozessen bis zu Konfigurations-Checks für Bluetooth-Geräte. Ideal für IT-Verantwortliche und sicherheitsbewusste Anwender, die Geräte ohne große Investitionen härten wollen. Jetzt kostenlosen Cyber-Security-Guide herunterladen

Ist die Verbindung erst einmal erzwungen, hat der Angreifer weitreichende Kontrolle. Er kann den Audio-Stream umlenken, das Mikrofon aktivieren, um Gespräche abzuhören, oder Steuerbefehle kapern. Besonders heikel: Durch das erzwungene Pairing lässt sich ein dauerhafter Schlüssel auf dem Gerät hinterlegen. Dieser ermöglicht es, den Nutzer über Googles „Mein Gerät finden“-Netzwerk zu verfolgen.

Welche Geräte sind betroffen?

Die Lücke steckt nicht in den Smartphones, sondern in der Firmware der Audiogeräte selbst. Damit sind sowohl Android- als auch iPhone-Nutzer gefährdet, sofern sie anfälliges Zubehör verwenden. Betroffen sind potenziell Hunderte Millionen Produkte verschiedener Hersteller, die die Google Fast Pair-Funktion für einfaches Koppeln unterstützen.

Das Risiko ist im Alltag real. Ein Angriff erfordert keine Interaktion des Opfers und könnte in öffentlichen Räumen wie Cafés, Flughäfen oder U-Bahnen stattfinden. „Die Gefahr des unbemerkten Abhörens ist akut“, so ein Sprecher des BSI.

Was Nutzer jetzt tun müssen

Die Reaktion der Industrie verläuft zweigleisig. Google hat die Lücke für seine Pixel-Geräte bereits mit den Januar-Updates 2026 geschlossen. Die eigentliche Herausforderung liegt bei den Zubehörherstellern. Jeder muss ein eigenes Firmware-Update für seine Kopfhörer und Lautsprecher bereitstellen – ein Prozess, der bei vielen, besonders älteren oder günstigeren Modellen, schleppend verläuft oder ganz ausbleiben könnte.

Nutzer sollten daher umgehend handeln:
1. Firmware-Updates prüfen: Die Hersteller-App oder Support-Website des eigenen Kopfhörers oder Lautsprechers auf verfügbare Updates überprüfen und sofort installieren.
2. Bluetooth deaktivieren: In unsicheren Umgebungen Bluetooth am Smartphone ausschalten, wenn es nicht benötigt wird.
3. Geräte scannen: Forscher der KU Leuven haben den „WPair Scanner“ veröffentlicht, eine Open-Source-App zur Identifizierung anfälliger Geräte.

Das IoT-Update-Problem wird akut

„WhisperPair“ ist kein Einzelfall. Sie reiht sich in eine Serie von Bluetooth-Sicherheitslücken der letzten Jahre ein. Der Fall zeigt erneut das fundamentale Problem im Internet der Dinge (IoT): Während Smartphones regelmäßig Patches erhalten, bleiben vernetzte Zubehörgeräte oft jahrelang ungeschützt.

Die Verantwortung liegt zunehmend beim Verbraucher. Die regelmäßige Firmware-Aktualisierung aller vernetzten Geräte wird zur essenziellen Sicherheitsroutine. Langfristig dürfte der Druck auf Hersteller und Regulierungsbehörden wachsen, verbindliche Update-Pflichten für IoT-Produkte durchzusetzen – ähnlich wie es für Smartphones bereits Praxis ist. Bis dahin bleibt Vorsicht der beste Schutz.

PS: Wenn „WhisperPair“ eines zeigt, dann wie wichtig ein zuverlässiges Update-Management und einfache Schutzregeln sind. Der Gratis-Report „Cyber Security Awareness Trends“ bietet konkrete Checklisten, Priorisierungs-Tipps für Firmware-Patches und leicht umsetzbare Regeln für den sicheren Umgang mit Bluetooth- und IoT-Zubehör – nützlich für Unternehmen und engagierte Privatnutzer. Holen Sie sich die Anleitung, um Geräte in Cafés, am Arbeitsplatz oder unterwegs besser zu schützen. Gratis E-Book “Cyber Security Awareness Trends” anfordern