Een kwetsbaarheid in Google Fast Pair maakt honderden miljoenen bluetooth-oortjes en -hoofdtelefoons een eenvoudige prooi voor hackers, ontdekken onderzoekers van KU Leuven.
Gebruik je een draadloze hoofdtelefoon of oortjes om onderweg te bellen en naar muziek te luisteren? Hoewel de bedoeling van een hoofdtelefoon net is om je af te sluiten van de buitenwereld, heeft er mogelijk al eens iemand met je meegeluisterd. Computerwetenschappers van de KU Leuven leggen een kritieke kwetsbaarheid in een veelgebruikt bluetoothprotocol van Google bloot.
De kwetsbaarheden zitten specifiek in Fast Pair. Met deze functie, die ingebakken zit in Android en ChromeOS, kan je met een simpele tik je draadloze apparaten verbinden met je smartphone. De functie werd door Google geïntroduceerd om het gedoe met bluetooth-verbindingen te verminderen, maar dat gebruiksgemak komt met risico’s.
lees ook
3 manieren om bluetooth-apparaten snel te verbinden met je pc
Meeluisteren
Onderzoekers van COSIC, het departement voor computerbeveiliging en cryptografie aan de KU Leuven, ontdekten dat Fast Pair misbruikt kan worden om mee te luisteren met draadloze hoofdtelefoons. De kwetsbaarheid krijgt de naam WhisperPair, officieel CVE-2025-36911, en treft miljoenen oortjes en hoofdtelefoons van populaire fabrikanten. Ongeveer twee op drie geteste hoofdtelefoons bleek vatbaar, ook toestellen die het certificatieproces van Google hebben doorlopen.
De Fast Pair-functie maakt het mogelijk om met een simpele tik je hoofdtelefoon met je smartphone te verbinden, zonder het bluetoothmenu te moeten openen. Dat kan normaal gezien enkel voor vertrouwde apparaten. Een aanvaller die binnen het bluetoothbereik zit, kan via de functie eenvoudig zijn eigen apparaat verbinden, zonder dat je daar zelf iets van merkt.
Dat komt omdat fabrikanten van hoofdtelefoons het protocol niet goed toepassen en het verbindingsverzoek goedkeuren zonder controle of je op de knop hebt gedrukt, legt professor Bart Preneel uit in De Morgen. In slechts enkele seconden neemt de hacker zo de controle over je hoofdtelefoon over.
Vanaf dan kunnen onder meer telefoongesprekken opgenomen worden, of kan een aanvaller je zelfs stalken via het Vind Mijn-netwerk van Google. De kwetsbaarheid werd doorgegeven aan Google en inmiddels zou voor de meeste apparaten een patch beschikbaar moeten zijn. Controleer je hoofdtelefoon op updates en voer deze zo snel mogelijk uit.