Beveiligingsonderzoekers van de KU Leuven hebben een ernstige kwetsbaarheid ontdekt in het Bluetooth-koppelprotocol Google Fast Pair, blijkt uit informatie op de officiële site whisperpair.eu.
Veel draadloze accessoires zoals oordopjes, koptelefoons en speakers zijn niet goed beveiligd, waardoor aanvallers binnen enkele seconden verbinding kunnen maken zonder toestemming en zo apparaten kunnen overnemen en gebruikers kunnen volgen.
Op de website beschrijven de onderzoekers dat het probleem niet ligt bij de telefoon of laptop, maar bij hoe veel accessoires het Fast Pair-protocol implementeren. Volgens de publicatie negeren deze apparaten te vaak de vereiste controle of ze in koppelmodus staan, wat het mogelijk maakt voor kwaadwillenden om verbinding te forceren met een accessoire en vervolgens bijvoorbeeld audio te spelen of de microfoon te activeren. De aanval werkt op realistische bluetooth-afstanden tot ongeveer 14 meter en duurt gemiddeld zo’n tien seconden.
Naast het kapen van het audiosignaal kan een aanvaller een accessoire toevoegen aan zijn eigen Google-account in het Find Hub-netwerk. Hierdoor wordt de locatie van het apparaat én de gebruiker periodiek bijgewerkt, wat tracking mogelijk maakt zonder dat het slachtoffer hiervan direct bewust wordt. Dit risico geldt zelfs voor mensen buiten het Android-ecosysteem, omdat het probleem in het accessoire zelf zit en niet in het besturingssysteem van een smartphone.
De onderzoekers gaven hun bevindingen in augustus 2025 verantwoord vrij aan Google, wat heeft geleid tot een officiële kwetsbaarheidsmelding (CVE-2025-36911). Fabrikanten werken sindsdien aan patches, maar niet alle getroffen apparaten hebben al updates ontvangen. Gebruikers worden dringend aangeraden de firmware van hun bluetooth-accessoires te controleren en bij te werken zodra een patch beschikbaar is om misbruik te voorkomen.