Onderzoekers van de COSIC-groep aan de KU Leuven hebben beveiligingsfouten ontdekt in de Google Fast Pair Service. Daarmee zou je vanop afstand kunnen meeluisteren met draadloze oortjes en koptelefoons.
De Google Fast Pair Service (GFPS) is een tool die het makkelijker moet maken om draadloze toestellen via Bluetooth te koppelen of ‘pairen’ met je smartphone. Via de dienst kan je met één klik een apparaat koppelen en synchroniseren via je Google account. De dienst bevat echter enkele hiaten in de beveiliging, waardoor honderden miljoenen Bluetooth apparaten gevaar kunnen lopen, ook oortjes en hoofdtelefoons van bekende merken.
Fast Pair
Het lek is het gevolg van pogingen om gebruiksgemak te verbeteren. Om een nieuw apparaat te koppelen moet je dat volgens het klassieke Bluetooth protocol expliciet in ‘pairing modus’ plaatsen, door bijvoorbeeld een knop ingedrukt te houden. Op die manier kan je in principe alleen vertrouwde apparaten koppelen. Met de Fast Pair service kan je die stap echter omzeilen, zo ontdekten de onderzoekers van COSIC. Een aanvaller zou via de tool op enkele seconden zijn eigen toestel kunnen koppelen met deze draadloze apparaten, zonder toestemming van de eigenaar.
De onderzoekers hebben die aanvallen WhisperPair genoemd. Een aanvaller zou de kwetsbaarheid bijvoorbeeld kunnen gebruiken om op de trein te koppelen met de hoofdtelefoon van iemand anders. Op die manier zou hij de audioverbinding kunnen overnemen en een telefoongesprek opnemen dat niet voor zijn oren bedoeld is.
Een ander voorbeeld draait rond stalking. Sommige apparaten hebben ondersteuning voor het Find Hub netwerk van Google, dat je toelaat om verloren apparaten terug te vinden. Als een slachtoffer (bijvoorbeeld een iPhone-gebruiker die een Fast Pair koptelefoon gebruikt) zijn koptelefoon nooit heeft verbonden met een Android apparaat, kan een aanvaller zich draadloos registreren als de eigenaar van de koptelefoon. Omdat het Google-account van de aanvaller nu geregistreerd is als de eigenaar van het apparaat, kan de aanvaller de locatie van de koptelefoon (en de gebruiker) enkele dagen volgen via het Find Hub netwerk.
Structurele fout
De onderzoekers wijzen erop dat het niet om een fout gaat in een of ander toestel, maar om een structurele fout in de softwaredienst. COSIC testte 25 commerciële apparaten van 16 fabrikanten, met 17 verschillende Bluetooth chipsets. Op 68% van deze apparaten konden de onderzoekers de verbinding overnemen en de microfoon afluisteren. De onderzoekers stellen een aanpassing aan het Fast Pair protocol voor dat ze IntentPair noemen. Die aanpassing is een extra cryptografische controle die moet bewijzen dat een apparaat in pairing modus staat.
COSIC heeft de kwetsbaarheid ook aan Google gemeld. De kwetsbaarheid heeft (voor de geïnteresseerden) het CVE-nummer2025-36911meegekregen en wordt als ‘kritisch’ beschouwd (de hoogste categorie voor ernstige kwetsbaarheden). Google en zijn partners zouden deze maand een beveiligingsupdate uitbrengen die de fout moet verhelpen.