Onderzoekers van de KU Leuven Universiteit hebben aanzienlijke beveiligingsfouten ontdekt in de Fast Pair-technologie van Google, een functie die is ontworpen om Bluetooth-apparaatverbindingen te vereenvoudigen. De kwetsbaarheden, genaamd “WhisperPair”, kunnen aanvallers in staat stellen audioapparaten – inclusief koptelefoons en oordopjes – te kapen tot op een afstand van maximaal 14 meter.
De kwetsbaarheid uitgelegd
Fast Pair, geïntroduceerd in 2017, heeft tot doel de Bluetooth-koppeling tussen Android en Chrome OS met één tik te stroomlijnen. De onderzoekers ontdekten echter dat de implementatie zwakke punten bevat die de standaard beveiligingsprotocollen omzeilen. Dit betekent dat hackers het verbindingsproces kunnen misbruiken om ongeautoriseerde toegang tot apparaten te verkrijgen.
De dreiging is niet theoretisch; de onderzoekers hebben de exploit met succes gedemonstreerd op producten van grote fabrikanten als Sony, Harman en zelfs Google zelf. Hoewel Google beweert de problemen te hebben aangepakt via software-updates, benadrukken de onderzoekers dat veel apparaten kwetsbaar blijven.
Reactie van Google en resterende risico’s
Google erkent de tekortkomingen en heeft updates uitgebracht voor zijn Pixel Buds Pro, en heeft in september ook andere fabrikanten hiervan op de hoogte gesteld. Het bedrijf schrijft een deel van het probleem echter toe aan implementaties van derden die niet volledig voldoen aan de Fast Pair-specificaties.
De voornaamste zorgen concentreren zich rond twee belangrijke risico’s:
- Apparaatkaping: Aanvallers kunnen de controle over de audiostream overnemen, waarbij ze mogelijk schadelijke inhoud injecteren of gesprekken afluisteren.
- Locatie volgen: Door de kwetsbaarheden kunnen hackers de locatie van een gebruiker volgen via zijn gekoppelde Bluetooth-apparaten. Google stelt dat het een oplossing heeft uitgerold om dit specifieke probleem te voorkomen, maar de effectiviteit hangt af van de gebruikers die updates toepassen.
Wat gebruikers moeten doen
De onderzoekers ontvingen een premie van $ 15.000 voor hun ontdekking en gingen akkoord met een openbaarmakingstermijn van 150 dagen, zodat Google de tijd kreeg om patches te implementeren. Ondanks deze inspanningen waarschuwt het team dat veel gebruikers zich niet bewust zijn van kritieke beveiligingsupdates.
Om zichzelf te beschermen moeten gebruikers van Bluetooth-apparaten onmiddellijk:
- Controleer en installeer de nieuwste firmware-updates van de fabrikant van het apparaat.
- Wees voorzichtig bij het koppelen van nieuwe apparaten in openbare of drukke ruimtes.
- Blijf op de hoogte van beveiligingsadviezen van Google en andere technologiebedrijven.
“Onze bevindingen laten zien hoe een kleine ‘add-on’ voor bruikbaarheid grootschalige veiligheids- en privacyrisico’s kan introduceren voor honderden miljoenen gebruikers.” – WhisperPair-onderzoeksgroep
De kwetsbaarheden benadrukken de wisselwerking tussen gemak en veiligheid in de moderne technologie. Hoewel Fast Pair de gebruikerservaring vereenvoudigt, introduceert het ook nieuwe aanvalsvectoren die voortdurende waakzaamheid vereisen van zowel fabrikanten als consumenten.
