Bluetooth onder druk: Fast Pair blijkt achilleshiel voor privacy

Onderzoekers van de KU Leuven hebben een ernstige kwetsbaarheid ontdekt in Google Fast Pair, een dienst die op grote schaal wordt gebruikt om Bluetooth-accessoires snel te koppelen. ‘Door voorrang te geven aan gebruiksgemak heeft de industrie het digitale slot op de voordeur verwaarloosd.’

Bluetooth-oortjes en -koptelefoons zijn ontworpen om vooral moeiteloos te werken: openen, tikken en luisteren. Net dat gebruiksgemak blijkt nu dus een zwakke plek. En dat al een tijdje: Fast Pair werd in 2017 door Google geïntroduceerd om het koppelen van Bluetooth-apparaten eenvoudiger te maken, met automatische synchronisatie aan een Google-account.

Maar volgens het onderzoek van Cosic, de beveiligingsgroep van de KU Leuven, ondermijnt dat ontwerp fundamentele veiligheidsprincipes van Bluetooth. Bij veel Fast Pair-gecertificeerde accessoires kan een aanvaller een verbinding tot stand brengen zonder dat het apparaat expliciet in koppelmodus staat of dat de gebruiker toestemming geeft.

De onderzoekers bundelden hun aanvallen onder de naam WhisperPair. Die kunnen binnen enkele seconden en met standaardhardware worden uitgevoerd, op afstanden tot ongeveer 14 meter.

Stalking

Wat betekent dat in de praktijk? De onderzoekers tonen dat aan met enkele scenario’s. In zo’n eerste scenario kan een aanvaller in de buurt van een treinreiziger de verbinding met diens koptelefoon overnemen. Audio kan worden onderbroken of vervangen, en de microfoon kan ongemerkt worden geactiveerd om omgevingsgeluid of gesprekken op te nemen.

Een tweede, ernstiger scenario draait rond stalking. Bepaalde Fast Pair-apparaten ondersteunen Googles Find Hub-netwerk. Als zo’n accessoire nooit eerder aan een Android-toestel is gekoppeld, kan een aanvaller zich registreren als ‘eigenaar’ en het apparaat – en dus de gebruiker – dagenlang volgen. Waarschuwingen tegen ongewenste tracking verschijnen vaak pas na 48 uur en ogen voor slachtoffers weinig alarmerend.

Twee op drie apparaten kwetsbaar

De privacyproblemen doen zich niet bij alle apparaten voor, maar wel bij de meeste. COSIC testte 25 apparaten van 16 fabrikanten, waaronder JBL en Sony.

Bij 68 procent slaagden de onderzoekers er namelijk in de verbinding over te nemen en de microfoon te misbruiken. ‘Dit is niet een kwetsbaarheid in een goedkoop apparaat, maar een structurele fout in het hele Fast Pair ecosysteem, klinkt het bij de onderzoekers.

Gebrek aan cryptografische bescherming

De kwetsbaarheid is het gevolg van een te grote afhankelijkheid op checks op software-niveau in plaats van cryptografische bescherming. ‘De Fast Pair specificatie verwacht dat de firmware van het apparaat controleert of de pairing modus is ingeschakeld’, aldus de onderzoekers. ‘Deze verificatie wordt evenwel vaak fout geïmplementeerd door fabrikanten van Bluetooth accessoires.’

Als oplossing stellen de onderzoekers IntentPair voor, een aanpassing waarbij alleen een fysieke handeling van de gebruiker (zoals een knop indrukken) cryptografisch kan bevestigen dat koppelen is toegestaan.

Risico voor honderden miljoenen gebruikers

Google heeft de kwetsbaarheid (met als referentie CVE-2025-36911) intussen als kritisch geclassificeerd en werkt samen met fabrikanten aan updates, die vanaf januari 2026 worden uitgerold. Voor gebruikers blijft het advies voorlopig alvast eenvoudig maar essentieel: installeer firmware-updates van Bluetooth-accessoires zodra die beschikbaar zijn.

Al is men bij COSIC ook best hard in hun oordeel. ‘Een bijkomende dienst die ontworpen is om het koppelen van Bluetooth-accessoires gemakkelijker te maken, heeft grootschalige veiligheids- en privacy risico’s voor honderden miljoenen gebruikers geïntroduceerd’, stellen ze. ‘Door voorrang te geven aan gebruiksgemak heeft de industrie het digitale slot op de voordeur verwaarloosd. Want beveiliging is maar robuust als ze gekoppeld wordt aan cryptografische bescherming.’