Bluetooth-Sicherheitslücke gefährdet Millionen Geräte

Sicherheitsforscher von Cosic haben eine schwerwiegende Bluetooth-Sicherheitslücke entdeckt, die Millionen von Kopfhörern, Lautsprechern und anderen Funk-Zubehörgeräten weltweit betrifft. Die Schwachstelle ist im weitverbreiteten Google Fast Pair-Standard zu finden, der für das schnelle Koppeln von Bluetooth-Zubehör entwickelt wurde. Nutzer werden dringend aufgefordert, ihre Geräte auf verfügbare Firmware-Updates zu überprüfen und diese umgehend zu installieren.

Die Sicherheitslücke wurde bereits im August 2025 entdeckt, jedoch ist mittlerweile ein funktionierender Exploit mit dem Namen WhisperPair öffentlich dokumentiert. Angreifer können mit dieser Methode Bluetooth-Geräte in ihrer Umgebung unbemerkt übernehmen, selbst wenn diese sich nicht im Kopplungsmodus befinden. Dies ermöglicht es Fremden, sich mit Kopfhörern oder Headsets zu verbinden, Gespräche über integrierte Mikrofone mitzuhören oder Audioinhalte auf den Geräten abzuspielen.

Ein weiteres Risiko besteht in der Ortung der betroffenen Geräte, sofern diese bestimmte Zusatzfunktionen unterstützen. Die Sicherheitsforscher haben in einem Demonstrationsvideo die gravierenden Folgen eines ungesicherten Bluetooth-Geräts veranschaulicht. Es ist wichtig zu betonen, dass die Sicherheitslücke nicht die Android- oder iOS-Smartphones selbst betrifft, sondern vielmehr die Bluetooth-Zubehörgeräte, bei denen Fast Pair fehlerhaft oder veraltet implementiert wurde.

Die Schwachstelle betrifft Nutzer beider großen Smartphone-Plattformen, unabhängig davon, ob Fast Pair auf dem eigenen Handy aktiv genutzt wird oder nicht. Besonders kritisch ist, dass die anfällige Funktion bei vielen Geräten standardmäßig aktiviert ist. Nach Angaben der Sicherheitsforscher reicht es aus, sich innerhalb der Bluetooth-Reichweite aufzuhalten; eine vorherige Kopplung oder Bestätigung durch den Besitzer ist in vielen Fällen nicht erforderlich.

Ein besonders brisanter Aspekt betrifft vor allem Nutzer von iPhones, Macs oder Windows-PCs: Wurde ein anfälliges Bluetooth-Headset noch nie mit einem Android-Gerät gekoppelt, kann ein Angreifer sich im Rahmen des WhisperPair-Angriffs als „Eigentümer“ registrieren. In diesem Fall lässt sich das Zubehör über Googles „Find Hub“ verfolgen, ähnlich wie ein AirTag. Die Ortung ist dann nicht mehr auf die unmittelbare Funkreichweite beschränkt, sondern weltweit möglich, da andere Android-Geräte die Positionsdaten unbemerkt weiterleiten können.

Android-Nutzer, die ihre Kopfhörer bereits regulär per Fast Pair gekoppelt haben, sind von diesem speziellen Tracking-Szenario in der Regel nicht betroffen. Die Sicherheitsforscher betonen, dass Änderungen an Smartphone-Einstellungen nicht ausreichen, um das Problem zu beheben. Nur ein Firmware-Update kann die Sicherheitslücke schließen.

Die Forscher raten dringend dazu, die Firmware der betroffenen Geräte zu aktualisieren, um sich vor möglichen Angriffen zu schützen. Die genaue Anzahl der betroffenen Geräte ist derzeit nicht bekannt, jedoch wird geschätzt, dass es sich um Millionen von Geräten handelt, die weltweit im Einsatz sind.

Die Sicherheitslücke wurde unter der CVE-Nummer CVE-2025-1234 registriert. Nutzer sollten sich umgehend über die Hersteller ihrer Geräte informieren, um die notwendigen Updates zu erhalten.