Zum Hauptinhalt Zur Navigation

Suche Shortcut: Strg + K

Abo testen Anmelden
Deals
Rack & Stack (öffnet im neuen Fenster) Forum (öffnet im neuen Fenster)
SoftwareSecurityHardwareWissen

Google Fast Pair: Sicherheitslücke macht Hörstöpsel zur Wanze

Sicherheitsforscher haben eine gravierende Schwachstelle in Googles Fast-Pair-Technologie für Bluetooth-Hörstöpsel entdeckt.
/ Michael Linden
Kommentare News folgen (öffnet im neuen Fenster)
Pixel Buds Pro 2 von Google (Bild: Google)
Pixel Buds Pro 2 von Google Bild: Google

Forscher der belgischen Katholischen Universität haben die als WhisperPair bezeichnete Sicherheitslücke(öffnet im neuen Fenster) aufgedeckt, die Bluetooth-Zubehör mit Googles Fast-Pair-Technologie betrifft. Die Schwachstelle erlaube unbefugten Zugriff auf Geräte zahlreicher Hersteller, darunter Sony, Nothing, JBL, Oneplus und sogar Googles eigene Pixel Buds Pro 2, berichtet Wired.(öffnet im neuen Fenster)

Angriff funktioniert aus 14 Metern Entfernung

Forscher konnten anfällige Geräte in durchschnittlich zehn Sekunden kompromittieren. Die effektive Reichweite beträgt bis zu 14 Meter – nahe der Standard-Bluetooth-Reichweite. Opfer würden verdächtige Aktivitäten in dieser Distanz kaum bemerken, so die Forscher.

Neues aus der Golem Karrierewelt(öffnet im neuen Fenster)

Das Kernproblem liegt in der fehlerhaften Implementierung des Fast-Pair-Standards. Viele Geräte prüfen nicht korrekt, ob sie sich im Kopplungsmodus befinden, und akzeptieren Verbindungsanfragen unabhängig von ihrem aktuellen Status. Nach erfolgreicher Verbindung können Angreifer die Audiowiedergabe unterbrechen, unerwünschte Töne einspielen, das Gerät zur Standortverfolgung nutzen oder über das Mikrofon Gespräche belauschen.

Google-Patch bereits umgangen

Google bestätigte die Sicherheitslücke und informierte Partnerhersteller. Das Unternehmen behauptet, Updates für eigene betroffene Produkte veröffentlicht zu haben. Die Forscher erklärten jedoch gegenüber Wired(öffnet im neuen Fenster) , sie hätten bereits Umgehungen für Googles ersten Patch gefunden.

Ein grundsätzliches Problem erschwert die Behebung: Anders als Smartphones oder Computer verfügen Bluetooth-Geräte meist nicht über automatische Update-Mechanismen. Nutzer müssen Hersteller-Apps installieren und manuell nach Firmware-Updates suchen. Erschwerend kommt hinzu, dass Fast Pair nicht deaktiviert werden kann.

Google meldet bislang keine Hinweise auf Angriffe von Dritten, die diese Lücke ausnutzen. Eine vollständige Liste betroffener Geräte findet sich auf der Webseite des Forschungsprojekts. Die Security-Experten haben technische Details und ein Demonstrationsvideo veröffentlicht(öffnet im neuen Fenster) , um Hersteller zu schnellen Sicherheitsupdates zu bewegen.

Zur Startseite Kommentare

Relevante Themen

Technik/HardwareAudioSecuritySicherheitslückeDatensicherheitBluetooth-HörstöpselKopfhörerBluetooth