Sicherheitsforscher der Katholischen Universität Leuven haben am 15. Januar 2026 die kritische Schwachstelle „whisperpair“ in Google Fast Pair offengelegt. Die unter CVE-2025-36911 geführte Lücke ermöglicht es Angreifern, unterstützte Bluetooth-Geräte wie Kopfhörer oder Headsets ohne Kopplungsmodus und ohne Bestätigung durch den Nutzer zu übernehmen.
Konkret können Angreifer ihre eigenen Endgeräte mit betroffenen Bluetooth-Geräten koppeln, obwohl diese bereits verbunden sind oder sich nicht aktiv im Pairing-Modus befinden. In der Praxis lassen sich dadurch beispielsweise beliebige Töne abspielen oder Gespräche über das integrierte Mikrofon abhören. Der Angriff ist aus einer Entfernung von bis zu rund 14 Metern möglich und erfordert lediglich, dass das Zielgerät Google Fast Pair unterstützt. Das ursprünglich gekoppelte Betriebssystem spielt dabei keine Rolle.
Besonders kritisch ist, dass Geräte mit Unterstützung für Googles Find Hub Network zusätzlich als eigene Geräte registriert und anschließend geortet werden können, sofern sie zuvor noch nicht mit einem Android-Gerät gekoppelt waren. Laut Berichten sind zahlreiche Hersteller betroffen, darunter Sony, Nothing, JBL, OnePlus und auch Google selbst.
