IT-Sicherheitsforscher haben sich Bluetooth-Geräte mit Unterstützung von Googles Fast-Pair-Protokoll für die einfache und schnelle Kopplung angesehen. Dabei sind sie auf fehlerhafte Umsetzungen gestoßen. Das ermöglicht unter Umständen, Geräte als Wanzen zu missbrauchen oder in einigen Fällen auch deren Tracking mittels Googles „Mein Gerät Finden“-Netzwerk.

Heutzutage brauchen Sicherheitslücken für die bessere Wiedererkennbarkeit einen Codenamen, daher haben die IT-Forscher ihr den Spitznamen „WhisperPair“ verpasst und dazu eine eigene Webseite online gebracht. Dort fassen sie ihre Funde auch übersichtlich zusammen.

Übernahme von Bluetooth-Zubehör mit Fast Pairing

Um einen Fast-Pair-Vorgang zu starten, sendet ein Seeker (etwa Smartphone) eine Nachricht an den Provider (BT-Zubehör), um anzuzeigen, dass er das Pairing wünscht. Sofern der Provider nicht im Pairing-Modus ist, soll er laut Spezifikation solche Nachrichten nicht beachten. „Viele Geräte scheitern jedoch, diese Prüfung in der Praxis vorzunehmen und erlauben so nicht autorisierten Geräten, den Pairing-Prozess zu starten“, erklären die IT-Analysten. Nach dem Empfang einer Antwort von einem verwundbaren Gerät können Angreifer den Fast-Pair-Prozess durch Einrichtung eines herkömmlichen Bluetooth-Pairings abschließen (CVE-2025-36911, CVSS 7.1, Risiko „hoch“).

Das ermöglicht Angreifern, das Verbinden von anfälligem Fast-Pair-Zubehör wie drahtlosen Kopfhörern oder Earbuds etwa mit einem Laptop zu erzwingen. Angreifer erhalten dadurch volle Kontrolle über das Zubehör, wodurch sie etwa Musik abspielen oder Gespräche über das integrierte Mikrofon mitschneiden können. Angriffsversuche gelangen den IT-Sicherheitsforschern innerhalb von zehn Sekunden aus Entfernungen bis zu 14 Metern. Physischer Zugriff auf verwundbare Geräte ist dazu nicht nötig.

Ein weiterer Angriff gelang den IT-Forschern auf solche Bluetooth-Geräte, die noch nicht zuvor einen Pairing-Vorgang mit anderen Geräten abgeschlossen haben. Sofern sie das Google „Mein Gerät finden“-Netzwerk unterstützen, können Angreifer das Zubehör auf ihrem eigenen Konto zuordnen und damit dessen Standort tracken. Opfer erhalten jedoch mit hoher Wahrscheinlichkeit in solch einem Fall eine Warnung, dass sie getrackt werden, was die Standardeinstellung von Android ist.

Der praktische Schweregrad der Lücken ist vielleicht nicht ganz so groß, wie zunächst anzunehmen ist. Aus bis zu 14 Metern Entfernung bei freier Sicht könnte man Gespräche sicherlich auch einfacher direkt oder mit kleinem Richtmikrofon belauschen. Vor ungewolltem Tracking warnt das Smartphone potenzielle Opfer zeitnah – solche Tracking-Warnungen vom Smartphone sollten Handybesitzer besser ernst nehmen. Die Gerätehersteller sollten verwundbare Implementierungen zügig mit Software-Aktualisierungen absichern.

(dmk)

Der Schock im März 2025 saß tief: Als die weltgrößte medizinische Literaturdatenbank PubMed für einen Tag komplett offline ging, wurde der deutschen Wissenschaft schlagartig bewusst, auf welch dünnem Eis sie wandelt. Die Zeiten, in denen sie sich blind auf die Bereitstellung lebenswichtiger Forschungsdaten aus den USA verlassen konnte, sind unter der Trump-Regierung vorbei. Die Bundesregierung hat die Gefahr erkannt – zumindest offiziell. Mit einem Sofortbudget von rund 30 Millionen Euro will sie gefährdete Forschungsdatenbestände sichern und die europäische Datensouveränität stärken. Doch wer glaubt, dass dieses Geld direkt in den Aufbau unabhängiger Alternativen fließt, irrt.

Die Exekutive gibt sich gegenüber dem Parlament betont gelassen. Sie verweist auf die Deutsche Forschungsgemeinschaft (DFG), die die Mittel in einem wissenschaftsgeleiteten Verfahren vergebe. Das federführende Forschungsministerium betont, dass bisher keine dauerhaften signifikanten Einschränkungen vorlägen. Als Rettungsanker dienen der Regierung dabei Spiegel-Dienste der Deutschen Zentralbibliothek für Medizin (ZB MED). Doch genau da beginnt der Riss zwischen politischer Rhetorik und wissenschaftlicher Realität.

Die ZB MED, die als zentrale Säule der deutschen Informationsinfrastruktur gedacht ist, zeichnet ein deutlich düstereres Bild der Lage. Die Warnsignale aus Übersee seien systemisch: Die US-Regierung plane, das Budget der National Institutes of Health (NIH) um massive 40 Prozent zu kürzen. Gleichzeitig würden wissenschaftliche Inhalte auf Behördenseiten im großen Stil gelöscht und der Zugang zu Datenbanken für Forscher aus bestimmten Ländern blockiert. Sogar die Qualitätssicherung bei PubMed wackele, nachdem ein wichtiges Expertengremium für die Zeitschriftenauswahl kurzerhand aufgelöst worden sei.

Projektanträge der ZB MED aussortiert

Besonders bitter stößt der ZB MED auf, dass ihre Bemühungen um eine echte europäische Unabhängigkeit bislang ins Leere laufen. Eine ZB-MED-Sprecherin bedauerte gegenüber heise online, dass die Zentralbibliothek nach derzeitigem Stand nicht an den Investitionen der Bundesregierung teilhaben würden. Die Institution will mit dem Projekt Open Life Science Publication Database (OLSPub) eine offene, zuverlässige und nachhaltige europäische Alternative zu PubMed schaffen. Doch zwei Projektanträge sind bereits abgelehnt worden.

„Wir suchen derzeit händeringend nach neuen Finanzierungsmöglichkeiten und planen dazu unter anderem eine Fundraising-Kampagne“, erklärte die Sprecherin. Bei Ersatzoptionen zu PubMed gebe es zudem Missverständnisse. Die Bundesregierung verweise hier auf Europe PMC und das ZB-MED-Suchportal Livivo. Doch diese beiden Datenbanken nutzten nur die Daten, die PubMed derzeit noch liefere. Sollte diese Quelle ausfallen, könnten die Alternativen allenfalls auf den alten Datenbestand zurückgreifen. Es gebe also keine Datensicherheit. OLSPub solle dagegen selbst die Metadaten sammeln und so Redundanz schaffen.

Das bisherige Nein der DFG zu Projekten wie OLSPub wirkt in diesem Kontext fast schon paradox. Die Gutachter forderten eine engere Kooperation mit der US-amerikanischen National Library of Medicine (NLM) – also genau jener Institution, von deren politisch unberechenbarer Führung man sich eigentlich emanzipieren will. Es ist eine klassische Catch-22-Situation: Die deutsche Digitalpolitik will souverän sein, macht aber die Zusammenarbeit mit dem potenziellen Ausfallrisiko zur Bedingung für die Förderung.

Teures Pflaster auf offener Wunde

Die ZB MED bedauert zudem, dass sie gleichzeitig mit Kürzungen in der institutionellen Förderung konfrontiert sei. Dabei handle es sich um einen Widerspruch, der die langfristige Strategie infrage stelle. Unterstützung erhält die Einrichtung vom Deutschen Bibliotheksverband (dbv). Für dessen Vorsitzende Antje Theise führt die aktuelle politische Lage vor Augen, wie fragil der Zugang zu Daten geworden ist. Bibliotheken seien als gemeinwohlorientierte Institutionen ein tragendes Fundament der Forschungssicherheit und dürften nicht den Gesetzen des Marktes oder kurzfristigen Haushaltskürzungen geopfert werden.

Klar ist: Ohne ein funktionierendes, unabhängiges System zur Erfassung aktueller medizinischer Publikationen droht der deutschen Forschung und Industrie im Ernstfall ein Blindflug. Die 30 Millionen Euro des Bundes könnten so am Ende nur ein teures Pflaster auf einer Wunde sein, die eigentlich eine Operation am offenen Herzen der Infrastruktur benötigt hätte.

(mki)

Es sollte das große Prestige-Projekt Saudi-Arabiens schlechthin werden, initiiert von Kronprinz Mohammed bin Salman persönlich: das Infrastrukturprojekt Neom im Nordwesten des Landes. Nach einer Reihe von Querelen über überschrittene Zeit- und Budgetpläne soll das Vorhaben deutlich verkleinert werden.

Kurz vor dem Ende einer umfassenden Überprüfung sei Mohammed bin Salman zu dem Schluss gekommen, dass das Projekt sehr viel kleiner ausfallen solle, berichtet die britische Wirtschaftstageszeitung Financial Times (Paywall) unter Berufung auf Insider. Die Ergebnisse der Prüfung sollen in den kommenden Monaten vorliegen.

Ein wichtiger Grund für die Änderungen ist die finanzielle Lage des Landes: Jahrelang wurde viel Geld ausgegeben. Der Preis für Öl, die Haupteinnahmequelle des Landes, ist jedoch vergleichsweise niedrig. Hinzu kommt, dass Saudi-Arabien 2030 die Expo und 2034 die Fußball-Weltmeisterschaft ausrichten wird, was weitere Investitionen bedeutet.

Megaprojekt in der Wüste

Neom ist Teil von Saudi Vision 2030, einem Konzept zum Umbau der Wirtschaft, um vom Öl unabhängig zu werden. Das Infrastrukturprojekt soll im Nordwesten des Landes entstehen, auf einem Gebiet etwa von der Größe Belgiens. Dazu gehören Einzelprojekte wie die 2024 eingeweihte Luxusferieninsel Sindalah, das Ski-Resort Trojena in den Bergen sowie die Stadt Oxagon, die zur Hälfte an Land, zur Hälfte auf Schwimmpontons entstehen soll.

Wichtigstes Teilprojekt von Neom ist The Line, eine über 170 Kilometer lange, 200 Meter breite und 500 Meter hohe Stadt, in die ein Tiefwasserhafen für Kreuzfahrtschiffe sowie ein Fußballstadion in großer Höhe integriert werden sollten.

Das schwer kritisierte Megaprojekt gilt in dieser Form als gescheitert und soll deutlich verkleinert werden. Nach den neuen Plänen bin Salmans sollen dort Rechenzentren für Künstliche Intelligenz (KI) entstehen. Nach Angaben von Neom will sich das Land „als globaler Knotenpunkt für Daten und KI etablieren“ und deshalb Investoren und Partner in diesem schnell wachsenden Bereich gewinnen.

Wasser und sauberer Strom

The Line eignet sich laut Neom gut als Standort für Rechenzentren: Diese brauchen Strom und Wasser zum Kühlen. Die Stadt sollte am Golf von Akaba entstehen. Wasser gebe es also in großer Menge. Zudem steht laut Neom günstige Energie aus erneuerbaren Quellen in großer Menge zur Verfügung – The Line sollte komplett mit sauberer Energie betrieben werden.

Aber nicht nur The Line wird verkleinert: Auch Trojena, das in den Bergen im Hinterland gebaut wird, soll kleiner ausfallen als ursprünglich vorgesehen. Zudem hat die Regierung angekündigt, dass die Asiatischen Winterspiele 2029 nicht wie geplant in Trojena stattfinden werden.

Nach offizieller Lesart ist das Projekt Neom damit nicht gescheitert: Die Änderungen zeigten, dass die Regierung und das System in der Lage seien, die Ziele anzupassen, sagte einer der Insider der Financial Times. Neom selbst teilt der Zeitung mit, es werde darauf geachtet, Initiativen abzustimmen und zu priorisieren, „dass sie mit nationalen Zielen übereinstimmen und langfristigen Wert schaffen“.

(wpl)