Sicherheitslücke in Bluetooth-Kopfhörern: Nur ein Update hilft
Sicherheitslücke in Bluetooth-Kopfhörern: Nur ein Update hilft
31.03.2026 - 11:24 Uhr
Millionen von Kopfhörern mit Bluetooth sind von der Sicherheitslücke WhisperPair betroffen. Angreifer können Dich abhören oder orten. Nur ein Update schützt jetzt.
Die IT-Forschungsgruppe Cosic warnt aktuell vor einer Sicherheitslücke in Bluetooth-Kopfhörern. Wer diese Technik benutzt, sollte unbedingt und schnellstmöglich prüfen, ob ein Firmware-Update für das eigene Gerät vorliegt. Weltweit sind wahrscheinlich Millionen von Kopfhörern mit Bluetooth von der schwerwiegenden Sicherheitslücke betroffen.
Das Sicherheitsproblem hängt mit dem Google-Fast-Pair-Standard zusammen. Diese Technologie erlaubt ein schnelles Koppeln zwischen zwei Geräten via Bluetooth. Bereits seit August 2025 ist eine Lücke in diesem Standard bekannt. Inzwischen gibt es zudem einen effektiven Exploit, der unter dem Namen WhisperPair bekannt ist.
Über diesen Exploit gelingt es Angreifern, Geräte in der unmittelbaren Umgebung zu übernehmen, unabhängig davon, ob der Kopplungsmodus aktiviert ist oder nicht. Auf diesem Weg kann sich jeder mit einem Kopfhörer oder Headset verbinden und mithören. So ist es möglich, Gespräche zu belauschen, mitzuschneiden oder auch beliebige Musik über die Kopfhörer abzuspielen. Außerdem ist es möglich, solche Geräte zu orten und damit Deinen aktuellen Standort herauszufinden.
Gefahrenpotenzial: Diese Bedrohungen gehen von WhisperPair aus
Die IT-Sicherheitsexperten von Cosic haben ein Video über den Exploit veröffentlicht. In diesem zeigen sie, wie einfach es ist, ungeschützte Geräte anzugreifen und zu übernehmen. Dies funktioniert per Bluetooth, also aus der Entfernung, und ohne selbst eines der Geräte berühren zu müssen.
Das Problem hängt mit den Endgeräten zusammen. Schuld sind also nicht die Smartphones oder mobilen Endgeräte und die Betriebssysteme Android sowie iOS. Die Sicherheitslücke befindet sich in den Kopfhörern und anderen Bluetooth-Zubehörgeräten, bei denen Fast Pair in einer veralteten Version oder fehlerhaft implementiert ist. Somit bist Du potenziell immer betroffen, unabhängig davon, welches Smartphone Du benutzt.
Die Gefahr wird noch größer, da viele der Bluetooth-Endgeräte standardmäßig Fast Pair aktiviert haben. Damit reicht es aus, wenn sich ein Angreifer in der Reichweite Deiner Bluetooth-Verbindung befindet. Es ist nicht einmal erforderlich, dass Du Dein Bluetooth-Gerät mit Deinem Smartphone gekoppelt hast, um gefährdet zu sein.
Exploit ermöglicht weltweites Tracking
Besonders problematisch an dem Exploit ist das Tracking Deines Standorts. Wer sein Bluetooth-Gerät noch nie mit einem Smartphone gekoppelt hat, gibt Angreifern die Möglichkeit, sich als deren Eigentümer zu registrieren. Dann steht der „Find Hub“ von Google dem Angreifer zur Verfügung. Über diese Funktion haben die Kriminellen Zugriff auf den aktuellen Standort des Geräts und kennen damit wahrscheinlich auch den Ort, an dem Du Dich eben aufhältst. In diesem Fall gelingt die Ortung unabhängig vom Aufenthaltsort des Angreifers und somit grenzenlos weltweit. Nur wer Android nutzt und seine Kopfhörer bereits bei Fast Pair mit einem Android-Smartphone gekoppelt hat, blockiert diese spezielle Komponente des Exploits.
Update der Firmware ist Pflicht
Willst Du Dich vor dieser Sicherheitslücke schützen, musst Du die Firmware updaten. Dies bezieht sich auf die Firmware des Kopfhörers, und nicht des Smartphones. Auch angepasste Einstellungen am Smartphone schützen Dich nicht vor dem Exploit.
Bereits im Sommer 2025 erhielten Hersteller und Google den Hinweis auf diese Sicherheitslücke. Aus diesem Grund gibt es für viele Geräte schon entsprechende Firmware-Updates. Die Installation ist in der Regel über die dazugehörige App des Geräts möglich.
Du solltest nach dem Update außerdem Deinen Bluetooth-Kopfhörer auf die Werkseinstellungen zurücksetzen. Das ist wichtig, um bei einem potenziell gehackten Gerät die Verbindung und den Zugriff des Angreifers zu unterbrechen.
Gibt es für Dein Bluetooth-Gerät kein Firmware-Update, solltest Du zumindest einmalig eine Kopplung mit Fast Pair vornehmen. Auf diesem Weg verhinderst Du, dass ein Angreifer sich als Besitzer des Kopfhörers eintragen und dann Deinen Standort tracken kann.
Bluetooth – ein stetes Risiko
In der Vergangenheit kam es immer wieder zu Sicherheitslücken in der Bluetooth-Technik. Alleine im Jahr 2025 wurden mehrere Probleme bekannt. Google lobt für die Entdeckung und Veröffentlichung solcher Sicherheitsprobleme eine Bug-Bounty-Prämie aus. Im Falle von WhisperPair zahlte das US-Unternehmen stolze 100.000 US-Dollar an die Entdecker.
Aus diesem Grund raten Experten schon länger dazu, Bluetooth am Smartphone nur dann zu aktivieren, wenn Du die Schnittstelle wirklich benötigst. Ist Bluetooth aktiv, erhöht sich grundsätzlich die Gefahr, über die Verbindung angegriffen zu werden.
Außerdem ist es wichtig, regelmäßig nach Updates für Apps und die Firmware der Geräte zu suchen. Die aktuelle Situation um WhisperPair zeigt, dass dies inzwischen auch für Peripherie wie Kopfhörer gilt.
