Beveiligingsfouten is Bluetooth pairingdienst Google maken meeluisteren mogelijk
Onderzoekers van de COSIC-groep aan de KU Leuven hebben beveiligingsfouten ontdekt in de Google Fast Pair Service. Daarmee zou je op afstand kunnen meeluisteren met draadloze oortjes en koptelefoons.
De Google Fast Pair Service (GFPS) is een tool die het makkelijker moet maken om draadloze apparaten via Bluetooth te koppelen of te paren met je smartphone. Via de dienst kun je met één klik een apparaat koppelen en synchroniseren via je Google-account. De dienst bevat echter enkele lekken in de beveiliging, waardoor honderden miljoenen Bluetooth-apparaten gevaar kunnen lopen, ook oortjes en hoofdtelefoons van bekende merken.
Fast Pair
Het lek is het gevolg van pogingen om gebruiksgemak te verbeteren. Om een nieuw apparaat te koppelen moet je dat volgens het klassieke Bluetooth-protocol expliciet in de paringsmodus plaatsen, door bijvoorbeeld een knop ingedrukt te houden. Op die manier kun je in principe alleen vertrouwde apparaten koppelen. Met de Fast Pair-service kun je die stap echter omzeilen, zo ontdekten de onderzoekers van COSIC. Een aanvaller zou via de tool binnen enkele seconden zijn eigen apparaat kunnen koppelen met deze draadloze apparaten, zonder toestemming van de eigenaar.
De onderzoekers hebben die aanvallen WhisperPair genoemd. Een aanvaller zou de kwetsbaarheid bijvoorbeeld kunnen gebruiken om in de trein te koppelen met de hoofdtelefoon van iemand anders. Op die manier zou hij de audioverbinding kunnen overnemen en een telefoongesprek opnemen dat niet voor zijn oren bedoeld is.
Een ander voorbeeld draait rond stalking. Sommige apparaten hebben ondersteuning voor het Find My Device-netwerk van Google, dat je in staat stelt om verloren apparaten terug te vinden. Als een slachtoffer (bijvoorbeeld een iPhone-gebruiker die een Fast Pair-koptelefoon gebruikt) zijn koptelefoon nooit heeft verbonden met een Android-apparaat, kan een aanvaller zich draadloos registreren als de eigenaar van de koptelefoon. Omdat het Google-account van de aanvaller nu geregistreerd is als de eigenaar van het apparaat, kan de aanvaller de locatie van de koptelefoon (en de gebruiker) enkele dagen volgen via het Find My Device-netwerk.
Structurele fout
De onderzoekers wijzen erop dat het niet om een fout gaat in een of ander apparaat, maar om een structurele fout in de softwaredienst. COSIC testte 25 commerciële apparaten van 16 fabrikanten, met 17 verschillende Bluetooth-chipsets. Op 68% van deze apparaten konden de onderzoekers de verbinding overnemen en de microfoon afluisteren. De onderzoekers stellen een aanpassing aan het Fast Pair-protocol voor dat ze IntentPair noemen. Die aanpassing is een extra cryptografische controle die moet bewijzen dat een apparaat in paringsmodus staat.
COSIC heeft de kwetsbaarheid ook aan Google gemeld. De kwetsbaarheid heeft (voor de geïnteresseerden) het CVE-nummer 2025-36911 gekregen en wordt als ‘kritiek’ beschouwd (de hoogste categorie voor ernstige kwetsbaarheden). Google en zijn partners zouden deze maand een beveiligingsupdate uitbrengen die de fout moet verhelpen.
In samenwerking met Data News
Meer over Security
Over Wouter Hoeffnagel
