WhisperPair: Sicherheitslücke gefährdet Millionen Kopfhörer

Eine neue, schwerwiegende Sicherheitslücke namens „WhisperPair“ ermöglicht es Angreifern, kabellose Kopfhörer und Lautsprecher zu übernehmen. Betroffen sind Hunderte Millionen Geräte großer Marken wie Sony, Google und Jabra. Die Schwachstelle erlaubt es, Gespräche abzuhören, Audio einzuspielen und Nutzer sogar zu verfolgen.

Wie der Angriff funktioniert

Das Problem liegt in einer fehlerhaften Umsetzung von Google Fast Pair, einem Protokoll für einfaches Koppeln. Laut Forschern der KU Leuven ignorieren mindestens 17 Gerätemodelle eine entscheidende Sicherheitsvorgabe: Sie akzeptieren neue Kopplungsanfragen, auch wenn sie bereits mit einem Smartphone verbunden sind.

Ein Angreifer benötigt nur ein Standard-Bluetooth-Gerät wie einen Laptop und muss sich in einer Entfernung von bis zu 15 Metern befinden. Innerhalb von Sekunden kann er eine stille, unbefugte Verbindung herstellen. Der Nutzer erhält keine Benachrichtigung und verliert so die Kontrolle über sein Audio-Accessoire.

Vernetzte Geräte wie kabellose Kopfhörer sind ein neues Einfallstor für Angreifer — und viele Anwender wissen nicht, wie sie sich schützen können. Der kostenlose E‑Book-Report „Cyber Security Awareness Trends“ fasst aktuelle Bedrohungen (inkl. IoT‑Schwachstellen), neue gesetzliche Anforderungen und praktische Sofortmaßnahmen zusammen. Er zeigt, welche einfachen Schritte (z. B. Firmware‑Checks, sichere Kopplungs‑Einstellungen) jetzt dringend nötig sind — ohne große Investitionen. Jetzt Cyber‑Security‑Report herunterladen

Vom Lauschangriff bis zur Ortung

Die Folgen sind gravierend. Nach erfolgreicher Übernahme kann ein Angreifer:
* Das Mikrofon aktivieren und private Gespräche mithören.
* Audio einschleusen, etwa störende oder manipulierte Töne.
* Bei bestimmten Modellen von Google und Sony sogar den Standort des Nutzers tracken.

Besonders heikel: Bei der Ortung wird das eigene Gerät als „unerwünschter Tracker“ angezeigt. Nutzer könnten die Warnung daher für einen Softwarefehler halten und ignorieren – was die Verfolgung langfristig möglich macht.

Betroffene Marken und erste Patches

Die Schwachstelle betrifft eine breite Palette populärer Geräte, darunter:
* Sony: Die gesamte WH-1000X-Serie (XM4, XM5, XM6) und die WF-1000XM5-Ohrhörer.
* Google: Pixel Buds Pro 2.
* Weitere Marken: Jabra, JBL, Logitech, Xiaomi, Nothing und OnePlus.

Da der Fehler in der Firmware der Kopfhörer selbst steckt, sind sowohl Android- als auch iPhone-Nutzer betroffen, sofern sie ein anfälliges Zubehörteil verwenden.

Google wurde im August 2025 informiert und koordinierte eine 150-tägige Embargofrist, um Herstellern Zeit für Patches zu geben. Einige Unternehmen wie Jabra, Logitech und JBL haben bereits begonnen, Firmware-Updates auszurollen. Google gibt an, noch keine Hinweise auf aktive Angriffe außerhalb des Labors zu haben.

Das größere Problem: IoT-Sicherheit

Der Fall „WhisperPair“ zeigt ein grundlegendes Dilemma der vernetzten Gerätewelt: Selbst gut durchdachte Sicherheitsprotokolle wie Fast Pair bieten keinen Schutz, wenn Hersteller sie nicht korrekt umsetzen. Die Bequemlichkeit für den Nutzer wurde hier zur Einfallspforte für Hacker.

Für Verbraucher gibt es aktuell nur einen wirksamen Schutz: Firmware-Updates. Das bloße Deaktivieren von Fast Pair im Smartphone hilft nicht, da die Schwachstelle im Kopfhörer liegt. Nutzer sollten dringend die Hersteller-Apps auf verfügbare Updates prüfen und diese installieren. Die Verantwortung liegt nun bei den Unternehmen, die Dringlichkeit klar zu kommunizieren – und bei den Nutzern, die oft nachlässige Update-Praxis bei Zubehör zu überwinden.

PS: Wenn Sie verhindern wollen, dass Zubehör wie Kopfhörer zur Sicherheitslücke wird, hilft ein kompakter Umsetzungsleitfaden. Dieser Gratis-Report zeigt praxisnahe Maßnahmen für Verbraucher und Firmen: von Firmware‑Update‑Routinen bis zu einfachen Konfigurationsregeln, die Sie sofort anwenden können. Ideal, um Kontrolle über Ihre Geräte zurückzugewinnen und unbemerkte Verbindungen zu verhindern. Kostenlosen Cyber‑Security‑Leitfaden jetzt sichern