Bluetooth
Bitte alle herhören! Der WhisperPair-Angriff kann Bluetooth-Kopfhörer und -Headsets vieler bekannter Hersteller in Tracking-Geräte verwandeln. Egal, ob das Zubehör gerade mit einem iPhone, Android-Smartphone oder Laptop verbunden ist. Die Technologie, die diese Schwachstelle ermöglicht, wurde ursprünglich von Google für Android-Geräte entwickelt. Trotzdem ist das Tracking-Risiko für anfällige Headsets mit anderen Betriebssystemen (iOS, macOS, Windows oder Linux) viel höher. Besonders heikel ist die Sache für iPhone-Besitzer.
Seit der Einführung von Google Fast Pair, lassen sich Bluetooth-Kopfhörer viel schneller mit Android-Smartphones verbinden. Dutzende von Zubehörherstellern verwenden die Technologie inzwischen. Wenn du ein neues Headset koppeln möchtest, schaltest du es einfach ein und hältst es in die Nähe deines Smartphones. Wenn dein Gerät modern genug ist (hergestellt nach 2019), wirst du in einem Pop-up-Fenster aufgefordert, eine Verbindung herzustellen und die passende App herunterzuladen (sofern vorhanden). Ein Fingertipp und es kann losgehen.
Leider haben viele Hersteller die Besonderheiten dieser Technologie nicht berücksichtigt. Unangenehme Folge: Ein Headset kann jetzt in Sekundenschnelle von einem fremden Smartphone gekapert werden. Es muss sich nicht einmal im Kopplungsmodus befinden. Genau darum geht es bei der WhisperPair-Schwachstelle, die kürzlich von Forschern der KU Leuven entdeckt und als CVE-2025-36911 registriert wurde.
Das angreifende Gerät (es kann ein normales Smartphone, Tablet oder ein Laptop sein) sendet Google Fast Pair-Anfragen an alle Bluetooth-Geräte in einem Umkreis von 14 Metern. Wie sich zeigte, reagieren viele Kopfhörer auf diese Pings, sogar wenn die Koppeln-Funktion deaktiviert ist. Die Liste der betroffenen Hersteller ist lang: Sony, JBL, Redmi, Anker, Marshall, Jabra, OnePlus und sogar die Pixel Buds 2 von Google. Der Angriff dauert im Durchschnitt nur 10 Sekunden.
Sobald die Kopfhörer gekoppelt sind, kann der Angreifer so ziemlich alles tun, was der Besitzer kann: das Mikrofon abhören, der Musik lauschen und, sofern Google Find Hub unterstützt wird, die Kopfhörer auf einer Karte orten. Die zuletzt erwähnte Funktion, die für die Suche nach vermissten Kopfhörern gedacht ist, ermöglicht heimliches Tracking. Das Besondere daran: Für Apple- und andere Nicht-Android-Geräte ist die Gefahr tatsächlich am größten.
Remote-Tracking und die Risiken für iPhones
Was passiert, wenn Kopfhörer oder ein Headset einem Android-Gerät zum ersten Mal über das Protokoll „Schnelles Pairing“ die Hand schütteln? Im Speicher des Zubehörs wird ein Besitzerschlüssel, der mit dem Google-Konto des Smartphones verknüpft ist, hinterlegt. Anhand dieser Informationen lassen sich die Kopfhörer später wiederfinden. Dazu dienen Daten, die aus Millionen von Android-Geräten gesammelt wurden. Wenn ein beliebiges Smartphone das Zielgerät via Bluetooth in der Nähe erkennt, meldet es seinen Standort an die Google-Server. Die Android-Funktion „Google Find Hub“ entspricht „Wo ist?“ von Apple und birgt die gleichen Risiken für unberechtigtes Tracking wie ein schädliches AirTag.
Wenn ein Angreifer sein Gerät mit dem Zubehör koppelt, kann sein Schlüssel als Schlüssel des Headset-Besitzers gespeichert werden. Voraussetzung: Das mit WhisperPair angegriffene Headset war zuvor noch nicht mit einem Android-Gerät verbunden und wurde nur mit einem iPhone oder mit Hardware mit einem anderen Betriebssystem (z. B. mit einem Laptop) verwendet. Sobald die Kopfhörer gekoppelt sind, kann der Angreifer nach Belieben den Standort auf einer Karte ermitteln – und zwar überall (nicht nur im Umkreis von 14 Metern).
Android-Nutzer, die Schnelles Pairing verwendet haben, um ein anfälliges Headset zu verbinden, sind vor diesem Trick sicher, da sie bereits als offizielle Besitzer registriert sind. Für alle anderen Geräte lohnt sich ein Blick in die Herstellerdokumentation: Prüfe nach, ob die Schwachstelle für dein Zubehör relevant ist. Zum Glück wird Google Find Hub nicht von allen Geräten unterstützt, die für den Exploit anfällig sind.
So neutralisierst du die WhisperPair-Bedrohung
Es gibt nur eine einzige effektive Möglichkeit, diese Schwachstelle zu beheben: Aktualisiere die Firmware deines Kopfhörers (sofern ein Update verfügbar ist). Updates kannst du gewöhnlich über die offizielle App des Headsets suchen und installieren. Die Forscher haben auf ihrer Website eine Liste mit anfälligen Geräten veröffentlicht, die aber wohl kaum vollständig ist.
Nach dem Firmware-Update musst du die Kopfhörer unbedingt auf die Werkseinstellungen zurücksetzen. Dadurch wird die Liste der gekoppelten Geräte gelöscht, auch unerwünschte Gäste.
Nehmen wir an, es gibt kein Firmware-Update und du verwendest dein Headset mit einem iOS-, macOS-, Windows- oder Linux-Gerät. Dann such dir ein Android-Smartphone (oder eine vertrauenswürdige Person, die ein solches Gerät besitzt) und übernimm damit die Rolle des ursprünglichen Besitzers. Dies verhindert, dass andere Personen deine Kopfhörer hinter deinem Rücken zu Google Find Hub hinzufügen.
Das Google-Update
Im Januar 2026 veröffentlichte Google ein Android-Update, das die Schwachstelle vom Betriebssystem her schließt. Leider sind noch keine Details bekannt, und wir können nur raten, was dahintersteckt. Höchstwahrscheinlich melden Smartphones nach diesem Update den Standort von Zubehör, das über WhisperPair übernommen wurde, nicht mehr an das Google Find Hub-Netzwerk. Da Android-Updates jedoch längst nicht von allen Nutzern installiert werden, wird diese Art des Headset-Trackings vermutlich noch mehrere Jahre funktionieren.
Wie können deine Geräte noch ausspioniert werden? Mehr dazu in diesen Artikeln:
Tipps