{"id":33126,"date":"2026-02-02T12:30:37","date_gmt":"2026-02-02T10:30:37","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=33126"},"modified":"2026-02-02T11:16:11","modified_gmt":"2026-02-02T09:16:11","slug":"whisperpair-blueooth-headset-location-tracking","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/whisperpair-blueooth-headset-location-tracking\/33126\/","title":{"rendered":"Bluetooth-Kopfh\u00f6rer als Spione"},"content":{"rendered":"

Bitte alle herh\u00f6ren! Der WhisperPair-Angriff kann Bluetooth-Kopfh\u00f6rer und -Headsets vieler bekannter Hersteller in Tracking-Ger\u00e4te verwandeln. Egal, ob das Zubeh\u00f6r gerade mit einem iPhone, Android-Smartphone oder Laptop verbunden ist. Die Technologie, die diese Schwachstelle erm\u00f6glicht, wurde urspr\u00fcnglich von Google f\u00fcr Android-Ger\u00e4te entwickelt. Trotzdem ist das Tracking-Risiko f\u00fcr anf\u00e4llige Headsets mit anderen Betriebssystemen (iOS, macOS, Windows oder Linux) viel h\u00f6her. Besonders heikel ist die Sache f\u00fcr iPhone-Besitzer.<\/p>\n

Seit der Einf\u00fchrung von Google Fast Pair, lassen sich Bluetooth-Kopfh\u00f6rer viel schneller mit Android-Smartphones verbinden. Dutzende von Zubeh\u00f6rherstellern verwenden die Technologie inzwischen. Wenn du ein neues Headset koppeln m\u00f6chtest, schaltest du es einfach ein und h\u00e4ltst es in die N\u00e4he deines Smartphones. Wenn dein Ger\u00e4t modern genug ist (hergestellt nach 2019), wirst du in einem Pop-up-Fenster aufgefordert, eine Verbindung herzustellen und die passende App herunterzuladen (sofern vorhanden). Ein Fingertipp und es kann losgehen.<\/p>\n

Leider haben viele Hersteller die Besonderheiten dieser Technologie nicht ber\u00fccksichtigt. Unangenehme Folge: Ein Headset kann jetzt in Sekundenschnelle von einem fremden Smartphone gekapert werden. Es muss sich nicht einmal im Kopplungsmodus befinden. Genau darum geht es bei der WhisperPair-Schwachstelle, die k\u00fcrzlich von Forschern der KU Leuven entdeckt und als CVE-2025-36911<\/a> registriert wurde.<\/p>\n

Das angreifende Ger\u00e4t (es kann ein normales Smartphone, Tablet oder ein Laptop sein) sendet Google Fast Pair-Anfragen an alle Bluetooth-Ger\u00e4te in einem Umkreis von 14\u00a0Metern. Wie sich zeigte, reagieren viele Kopfh\u00f6rer auf diese Pings, sogar wenn die Koppeln-Funktion deaktiviert ist. Die Liste der betroffenen Hersteller ist lang: Sony, JBL, Redmi, Anker, Marshall, Jabra, OnePlus und sogar die Pixel Buds 2 von Google. Der Angriff dauert im Durchschnitt nur 10\u00a0Sekunden.<\/p>\n

Sobald die Kopfh\u00f6rer gekoppelt sind, kann der Angreifer so ziemlich alles tun, was der Besitzer kann: das Mikrofon abh\u00f6ren, der Musik lauschen und, sofern Google Find Hub unterst\u00fctzt wird, die Kopfh\u00f6rer auf einer Karte orten. Die zuletzt erw\u00e4hnte Funktion, die f\u00fcr die Suche nach vermissten Kopfh\u00f6rern gedacht ist, erm\u00f6glicht heimliches Tracking. Das Besondere daran: F\u00fcr Apple- und andere Nicht-Android-Ger\u00e4te ist die Gefahr tats\u00e4chlich am gr\u00f6\u00dften.<\/p>\n

Remote-Tracking und die Risiken f\u00fcr iPhones<\/h2>\n

Was passiert, wenn Kopfh\u00f6rer oder ein Headset einem Android-Ger\u00e4t zum ersten Mal \u00fcber das Protokoll \u201eSchnelles Pairing\u201c die Hand sch\u00fctteln? Im Speicher des Zubeh\u00f6rs wird ein Besitzerschl\u00fcssel, der mit dem Google-Konto des Smartphones verkn\u00fcpft ist, hinterlegt. Anhand dieser Informationen lassen sich die Kopfh\u00f6rer sp\u00e4ter wiederfinden. Dazu dienen Daten, die aus Millionen von Android-Ger\u00e4ten gesammelt wurden. Wenn ein beliebiges Smartphone das Zielger\u00e4t via Bluetooth in der N\u00e4he erkennt, meldet es seinen Standort an die Google-Server. Die Android-Funktion \u201eGoogle Find Hub\u201c entspricht \u201eWo ist?\u201c von Apple und birgt die gleichen Risiken f\u00fcr unberechtigtes Tracking wie ein sch\u00e4dliches AirTag<\/a>.<\/p>\n

Wenn ein Angreifer sein Ger\u00e4t mit dem Zubeh\u00f6r koppelt, kann sein Schl\u00fcssel als Schl\u00fcssel des Headset-Besitzers gespeichert werden. Voraussetzung: Das mit WhisperPair angegriffene Headset war zuvor noch nicht mit einem Android-Ger\u00e4t verbunden und wurde nur mit einem iPhone oder mit Hardware mit einem anderen Betriebssystem (z.\u00a0B. mit einem Laptop) verwendet. Sobald die Kopfh\u00f6rer gekoppelt sind, kann der Angreifer nach Belieben den Standort auf einer Karte ermitteln\u00a0\u2013 und zwar \u00fcberall (nicht nur im Umkreis von 14\u00a0Metern).<\/p>\n

Android-Nutzer, die Schnelles Pairing verwendet haben, um ein anf\u00e4lliges Headset zu verbinden, sind vor diesem Trick sicher, da sie bereits als offizielle Besitzer registriert sind. F\u00fcr alle anderen Ger\u00e4te lohnt sich ein Blick in die Herstellerdokumentation: Pr\u00fcfe nach, ob die Schwachstelle f\u00fcr dein Zubeh\u00f6r relevant ist. Zum Gl\u00fcck wird Google Find Hub nicht von allen Ger\u00e4ten unterst\u00fctzt, die f\u00fcr den Exploit anf\u00e4llig sind.<\/p>\n

So neutralisierst du die WhisperPair-Bedrohung<\/h2>\n

Es gibt nur eine einzige effektive M\u00f6glichkeit, diese Schwachstelle zu beheben: Aktualisiere die Firmware deines Kopfh\u00f6rers (sofern ein Update verf\u00fcgbar ist). Updates kannst du gew\u00f6hnlich \u00fcber die offizielle App des Headsets suchen und installieren. Die Forscher haben auf ihrer Website<\/a> eine Liste mit anf\u00e4lligen Ger\u00e4ten ver\u00f6ffentlicht, die aber wohl kaum vollst\u00e4ndig ist.<\/p>\n

Nach dem Firmware-Update musst du die Kopfh\u00f6rer unbedingt auf die Werkseinstellungen zur\u00fccksetzen. Dadurch wird die Liste der gekoppelten Ger\u00e4te gel\u00f6scht, auch unerw\u00fcnschte G\u00e4ste.<\/p>\n

Nehmen wir an, es gibt kein Firmware-Update und du verwendest dein Headset mit einem iOS-, macOS-, Windows- oder Linux-Ger\u00e4t. Dann such dir ein Android-Smartphone (oder eine vertrauensw\u00fcrdige Person, die ein solches Ger\u00e4t besitzt) und \u00fcbernimm damit die Rolle des urspr\u00fcnglichen Besitzers. Dies verhindert, dass andere Personen deine Kopfh\u00f6rer hinter deinem R\u00fccken zu Google Find Hub hinzuf\u00fcgen.<\/p>\n

Das Google-Update<\/h2>\n

Im Januar 2026 ver\u00f6ffentlichte Google ein Android-Update, das die Schwachstelle vom Betriebssystem her schlie\u00dft. Leider sind noch keine Details bekannt, und wir k\u00f6nnen nur raten, was dahintersteckt. H\u00f6chstwahrscheinlich melden Smartphones nach diesem Update den Standort von Zubeh\u00f6r, das \u00fcber WhisperPair \u00fcbernommen wurde, nicht mehr an das Google Find Hub-Netzwerk. Da Android-Updates jedoch l\u00e4ngst nicht von allen Nutzern installiert werden, wird diese Art des Headset-Trackings vermutlich noch mehrere Jahre funktionieren.<\/p>\n

Wie k\u00f6nnen deine Ger\u00e4te noch ausspioniert werden? Mehr dazu in diesen Artikeln:<\/p>\n