Ein Angreifer, der sich innerhalb der Bluetooth‑Reichweite befindet, kann eine Schwachstelle im Google Fast Pair‑Protokoll ausnutzen, um vertrauliche Informationen preiszugeben. Die Lücke ermöglicht das Auslesen von Daten, die normalerweise nur zwischen einem Smartphone und einem Bluetooth‑Gerät ausgetauscht werden.

Technische Details

Die betroffene Implementierung von Fast Pair verwendet eine unzureichende Authentifizierung, wodurch ein Angreifer mit aktivierter Bluetooth‑Schnittstelle manipulierte Nachrichten senden kann. Durch das Ausnutzen dieser Schwäche lässt sich die Verschlüsselung umgehen und Daten wie Gerätekennungen oder Verbindungsparameter werden offengelegt.

Mögliche Folgen

Betroffene Nutzer könnten Informationen über verbundene Geräte, Standortdaten oder persönliche Präferenzen erhalten. In Szenarien, in denen Fast Pair für die Kopplung von sicherheitskritischen Geräten eingesetzt wird, könnten Angreifer potenziell weitere Angriffsvektoren erschließen.

Reaktionen der Hersteller

Google hat in einer Stellungnahme bestätigt, dass das Unternehmen an einer Behebung der Schwachstelle arbeitet und bereits ein Update für betroffene Geräte vorbereitet hat. Das CERT‑Bund hat die Sicherheitslücke als kritisch eingestuft und empfiehlt, bis zum Erhalt von Updates Vorsicht walten zu lassen.

Empfohlene Maßnahmen

Der CERT‑Bund rät Nutzern, Bluetooth nur bei Bedarf zu aktivieren und verdächtige Verbindungen zu meiden. Hersteller sollten unverzüglich Firmware‑Updates bereitstellen und die Authentifizierungsmechanismen im Fast Pair‑Protokoll stärken.

Weiterer Kontext

Bluetooth‑Sicherheitslücken gehören zu den häufigsten Angriffspunkten im mobilen Umfeld. Ähnliche Schwachstellen wurden in den vergangenen Jahren bereits mehrfach entdeckt, was die Notwendigkeit regelmäßiger Sicherheitsüberprüfungen unterstreicht.

Nutzerempfehlungen

Endanwender sollten ihre Geräte auf aktuelle Software‑Versionen prüfen, die Bluetooth‑Funktion deaktivieren, wenn sie nicht aktiv genutzt wird, und bei ungewöhnlichen Verbindungsanfragen vorsichtig sein.

Dieser Bericht basiert auf Informationen von CERT-Bund, lizenziert unter Amtliches Werk gem. § 5 UrhG (Deutschland).

Privacy Protocol

Wir verwenden CleanNet Technology für maximale Datensouveränität. Alle Ressourcen werden lokal von unseren gesicherten deutschen Servern geladen. Ihre IP-Adresse verlässt niemals unsere Infrastruktur. Wir verwenden ausschließlich technisch notwendige Cookies.
Für Cookies die über das CleanNet hinausgehen, bitte 3. Cookies aktivieren, ansonsten wird alles standardmäßig blockiert. Für mehr Infos die Datenschutzseite lesen.

Core SystemsTechnisch notwendig
External Media (3.Cookies)Maps, Video Streams,Google Analytics etc.
Analytics (Lokal mit Matomo)Anonyme Metriken
Datenschutz lesen