WhisperPair is een reeks aanvallen waarmee een aanvaller veel populaire Bluetooth-audioaccessoires kan kapen die Google Fast Pair gebruiken en in sommige gevallen zelfs hun locatie kan volgen via het Find Hub-netwerk van Google, zonder dat daarvoor enige interactie van de gebruiker nodig is.
Onderzoekers van de Belgische Universiteit van Leuven hebben een reeks kwetsbaarheden aan het licht gebracht die ze hebben gevonden in audioaccessoires die gebruikmaken van het Fast Pair-protocol van Google. De getroffen accessoires worden verkocht door tien verschillende bedrijven: Sony, Jabra, JBL, Marshall, Xiaomi, Nothing, OnePlus, Soundcore, Logitech en Google zelf.
Google Fast Pair is een functie waarmee Bluetooth-oordopjes, hoofdtelefoons en soortgelijke accessoires snel en naadloos kunnen worden gekoppeld aan Android en gesynchroniseerd met het Google-account van de gebruiker.
De Google Fast Pair Service (GFPS) maakt gebruik van Bluetooth Low Energy (BLE) om Bluetooth-apparaten in de buurt te detecteren. Veel grote audiomerken gebruiken Fast Pair in hun vlaggenschipproducten, waardoor het potentiële aanvalsoppervlak uit honderden miljoenen apparaten bestaat.
De zwakte zit hem in het feit dat Fast Pair niet controleert of een apparaat in de koppelingsmodus staat. Daardoor kan een apparaat dat door een aanvaller wordt bestuurd, zoals een laptop, Fast Pair activeren, zelfs als de oordopjes in het oor of de zak van een gebruiker zitten, en vervolgens snel een normale Bluetooth-koppeling voltooien en de volledige controle overnemen.
Wat die controle mogelijk maakt, hangt af van de mogelijkheden van het gekaapte apparaat. Dit kan variëren van het afspelen van storende geluiden tot het opnemen van audio via ingebouwde microfoons.
Het wordt nog erger als de aanvaller als eerste het accessoire koppelt aan een Android . In dat geval wijst de aanvaller zijn eigen account als de legitieme eigenaar van het accessoire aan. Als het Fast Pair-accessoire ook het Find Hub-netwerk van Google ondersteunt, dat veel mensen gebruiken om verloren voorwerpen terug te vinden, kan de aanvaller mogelijk de locatie van het accessoire volgen.
Google heeft deze kwetsbaarheid, die wordt bijgehouden onder CVE-2025-36911, als kritiek geclassificeerd. De enige echte oplossing is echter een firmware- of software-update van de fabrikant van het accessoire. Gebruikers moeten dus contact opnemen met hun specifieke merk en updates voor accessoires installeren, aangezien het updaten van de telefoon alleen het probleem niet oplost.
Hoe blijf ik veilig
Om te achterhalen of uw apparaat kwetsbaar is, hebben de onderzoekers een lijst gepubliceerd en raden ze aan om alle accessoires up-to-date te houden. Het onderzoeksteam heeft 25 commerciële apparaten van 16 fabrikanten getest met behulp van 17 verschillende Bluetooth-chipsets. Ze konden de verbinding overnemen en meeluisteren via de microfoon op 68% van de geteste apparaten.
Dit zijn de apparaten die volgens de onderzoekers kwetsbaar zijn, maar het is mogelijk dat ook andere apparaten kwetsbaar zijn:
- Anker Soundcore Liberty 4 NC
- Google Pixel Buds Pro 2
- JBL TUNE BEAM
- Jabra Elite Active
- Marshall MOTIF II A.N.C.
- Nothing Ear (a)
- OnePlus Nord Buds 3 Pro
- Sony WF-1000XM5
- Sony WH-1000XM4
- Sony WH-1000XM5
- Sony WH-1000XM6
- Sony WH-CH720N
- Xiaomi Redmi Buds 5 Pro
We rapporteren niet alleen over telefoonbeveiliging - we leveren het ook
Cyberbeveiligingsrisico's mogen zich nooit verder verspreiden dan een krantenkop. Houd bedreigingen weg van uw mobiele apparaten door Malwarebytes voor iOS en Malwarebytes voor Android vandaag nog te downloaden.
