De afdeling computerbeveiliging van de KU Leuven heeft een ernstig beveiligingslek ontdekt in de Google Fast Pair Service. Dat maakt het mogelijk om bijvoorbeeld af te luisteren via je bluetooth-koptelefoon of dat apparaat te volgen via de Find Hub.
De Google Fast Pair Service (GFPS) laat toe om een snelle koppeling te maken tussen een nieuw draadloos apparaat en je smartphone. Volgens Google zelf laat dit toe om ‘magische’ scenario’s te starten als de apparaten in elkaars buurt zijn. Met andere woorden, je kunt heel snel je draadloze koptelefoon via bluetooth verbinden en jezelf als gebruiker instellen met je Google-account. Volgens de afdeling COSIC (Computer Security and Industrial Cryptography group) aan de KU Leuven is de beveiliging daarvan echter zo lek als een mandje (via Data News).
Afluisteren of volgen
Om een nieuw apparaat te koppelen moet je dat normaal gesproken in koppelingsmodus (pairing modus) zetten. Daar hebben hackers echter iets op gevonden. Ze hebben een manier om zelf te koppelen met je apparaat zonder dat je daarvoor toestemming hoeft te geven of dat je het gewaarwordt. De onderzoekers van COSIC noemen het WhisperPair.
Wel moet de aanvaller nog altijd in de buurt van je toestel zijn. Op drukke plekken of in de trein is dat echter simpel te doen. Dan kan zo iemand meeluisteren met jouw muziek, of – iets delicater – met je telefoongesprekken. Maar er is nog een andere mogelijkheid.
Zo kan die aanvaller jouw koptelefoon die met een iPhone is verbonden toch nog registreren als de zijne via het Google-platform. Op die manier wordt hij de ‘eigenaar’ en kan hij het apparaat vanaf dan altijd volgen via het Find Hub-netwerk (vergelijkbaar met ‘Zoek mijn’ van Apple).
Kritiek beveiligingslek
Veel meer redenen zijn er niet nodig om deze kwetsbaarheid als ‘kritiek’ te bestempelen in de CVE-lijst (Common Vulnerabilities and Exposures). Daar kreeg het de code CVE-2025-36911, nadat COSIC het lek doorgaf aan Google. Het is wachten op een patch om de beveiliging weer af te dichten. Intussen kunnen vooral mensen met belangrijke functies maar beter opletten met hun bluetooth-oortjes en -koptelefoons.
COSIC testte namelijk 25 toestellen van 16 verschillende merken, met 17 verschillende bluetooth-modules. Daarvan konden ze 68% hacken en afluisteren. Dat duidt er nog meer op dat het wel degelijk om een diepgaand probleem gaat waarvan de oorsprong in het GFPS-protocol zit. Daarom hebben de onderzoekers meteen een oplossing meegegeven aan Google. IntentPair moet dan garanderen dat een toestel wel degelijk in de koppelingsmodus staat voordat het kan verbinden.
