l+f: WhisperPair – Bluetooth-Attacke auf Fast-Pairing

IT-Sicherheitsforscher haben sich Bluetooth-Geräte mit Unterstützung von Googles Fast-Pair-Protokoll für die einfache und schnelle Kopplung angesehen. Dabei sind sie auf fehlerhafte Umsetzungen gestoßen. Das ermöglicht unter Umständen, Geräte als Wanzen zu missbrauchen oder in einigen Fällen auch deren Tracking mittels Googles „Mein Gerät Finden“-Netzwerk.

Heutzutage brauchen Sicherheitslücken für die bessere Wiedererkennbarkeit einen Codenamen, daher haben die IT-Forscher ihr den Spitznamen „WhisperPair“ verpasst und dazu eine eigene Webseite online gebracht. Dort fassen sie ihre Funde auch übersichtlich zusammen.

Übernahme von Bluetooth-Zubehör mit Fast Pairing

Um einen Fast-Pair-Vorgang zu starten, sendet ein Seeker (etwa Smartphone) eine Nachricht an den Provider (BT-Zubehör), um anzuzeigen, dass er das Pairing wünscht. Sofern der Provider nicht im Pairing-Modus ist, soll er laut Spezifikation solche Nachrichten nicht beachten. „Viele Geräte scheitern jedoch, diese Prüfung in der Praxis vorzunehmen und erlauben so nicht autorisierten Geräten, den Pairing-Prozess zu starten“, erklären die IT-Analysten. Nach dem Empfang einer Antwort von einem verwundbaren Gerät können Angreifer den Fast-Pair-Prozess durch Einrichtung eines herkömmlichen Bluetooth-Pairings abschließen (CVE-2025-36911, CVSS 7.1, Risiko „hoch“).

Das ermöglicht Angreifern, das Verbinden von anfälligem Fast-Pair-Zubehör wie drahtlosen Kopfhörern oder Earbuds etwa mit einem Laptop zu erzwingen. Angreifer erhalten dadurch volle Kontrolle über das Zubehör, wodurch sie etwa Musik abspielen oder Gespräche über das integrierte Mikrofon mitschneiden können. Angriffsversuche gelangen den IT-Sicherheitsforschern innerhalb von zehn Sekunden aus Entfernungen bis zu 14 Metern. Physischer Zugriff auf verwundbare Geräte ist dazu nicht nötig.

Ein weiterer Angriff gelang den IT-Forschern auf solche Bluetooth-Geräte, die noch nicht zuvor einen Pairing-Vorgang mit anderen Geräten abgeschlossen haben. Sofern sie das Google „Mein Gerät finden“-Netzwerk unterstützen, können Angreifer das Zubehör auf ihrem eigenen Konto zuordnen und damit dessen Standort tracken. Opfer erhalten jedoch mit hoher Wahrscheinlichkeit in solch einem Fall eine Warnung, dass sie getrackt werden, was die Standardeinstellung von Android ist.

Der praktische Schweregrad der Lücken ist vielleicht nicht ganz so groß, wie zunächst anzunehmen ist. Aus bis zu 14 Metern Entfernung bei freier Sicht könnte man Gespräche sicherlich auch einfacher direkt oder mit kleinem Richtmikrofon belauschen. Vor ungewolltem Tracking warnt das Smartphone potenzielle Opfer zeitnah – solche Tracking-Warnungen vom Smartphone sollten Handybesitzer besser ernst nehmen. Die Gerätehersteller sollten verwundbare Implementierungen zügig mit Software-Aktualisierungen absichern.

(dmk)