Miljoenen bluetoothapparaten met Google Fast Pair zijn vatbaar voor hack

In dit artikel:

KU Leuven-onderzoekers hebben een ernstige kwetsbaarheid ontdekt in apparaten die Google Fast Pair gebruiken, en noemen die WhisperPair. Door een foutieve of ontbrekende controle in veel bluetooth-audioapparaten kunnen aanvallers ongevraagd verbinding maken met draadloze koptelefoons en oordopjes, ook als het slachtoffer geen Google-hardware gebruikt. Daardoor zijn miljoenen producten van merken als Sony, OnePlus, Jabra, JBL, Marshall, Logitech, Nothing, Soundcore en Google zelf potentieel getroffen.

De oorzaak is dat veel apparaten verbindingsverzoeken accepteren zonder daadwerkelijk in koppelingsmodus te staan, waardoor een kwaadwillende binnen een afstand van circa 14 meter in gemiddeld tien seconden de verbinding kan overnemen. Met die verbinding kunnen zij relatief onschuldige handelingen uitvoeren (muziek stoppen of eigen audio afspelen) maar ook de microfoon misbruiken om mee te luisteren en via het Google Find Hub-netwerk de locatie van het slachtoffer te achterhalen.

Het onderzoeksteam publiceerde een lijst met kwetsbare modellen en maakte een demo-video; de precieze exploitstappen zijn niet volledig openbaar gemaakt. Google kreeg de melding in augustus en heeft fabrikanten geïnformeerd. Fabrieksupdates zijn nodig per merk; sommige leveranciers, waaronder Google voor de Pixel Buds Pro 2, hebben al patches uitgegeven, maar nog niet alle apparaten zijn bijgewerkt.

Advies aan gebruikers: controleer of je model op de KU Leuven-lijst staat en installeer firmware-updates via de fabrikant-app. Tot nu toe is er geen wijdverbreid misbruik in het wild gemeld.