Beveiligingslek in bluetooth ontdekt: meeluisteren met oortjes is mogelijk
Onderzoekers van de KU Leuven in België hebben een ernstig beveiligingslek ontdekt in Google’s bluetooth‑technologie Fast Pair. Daardoor kunnen hackers draadloze oortjes of koptelefoons ongemerkt kapen, meeluisteren met gebruikers en de locatie van gebruikers volgen. Het probleem treft honderden miljoenen apparaten, ook van grote merken, en is door Google zelf als “een kritiek beveiligingslek” bestempeld.
De Belgische onderzoekers ontdekten een zwakke plek in de firmware van de mobiele accessoires. Veel van die oortjes en andere draadloze apparaten die dankzij bluetooth gekoppeld kunnen worden, negeren een veiligheidsregel van het Fast Pair-protocol: ze accepteren pairing-verzoeken ook als ze niet in de koppelingsmodus staan, wat in strijd is met het ontwerp van het protocol.
'Grootschalige veiligheids- en privacyrisico's'
"Een extra service die ontworpen is om het koppelen van bluetooth-accessoires te vergemakkelijken, heeft grootschalige veiligheids- en privacyrisico's voor honderden miljoenen gebruikers teweeggebracht", concluderen de onderzoekers van de universiteit in Leuven.
Zij testten 25 populaire koptelefoons van zestien merken, waaronder JBL en Sony. In 68 procent van de gevallen bleek misbruik mogelijk.
Als een aanvaller zich in de buurt bevindt, tot zo'n tien meter afstand, kan die zomaar met iemands hoofdtelefoon verbinding maken, zonder dat die persoon iets ervan merkt. In zo'n geval kan bijvoorbeeld de audiostream worden overgenomen of de microfoon worden geactiveerd, verklaart een van de onderzoekers.
Website met bevindingen
Het onderzoeksteam van KU Leuven heeft de bevindingen gedeeld op de website Whisperpair.eu.
Als je een bluetooth-accessoire hebt dat Google Fast Pair Service (GFPS) ondersteunt zoals draadloze oordopjes, koptelefoons of luidsprekers, loop je mogelijk risico. Je kunt je apparaat op deze webpagina opzoeken om te controleren of het volgens de onderzoekers kwetsbaar is.
Advies: houdt software up-to-date
Zij geven daarbij het advies om sowieso de software van je oortjes of andere mobiele device up-to-date te houden. Kijk daarvoor op de website van de fabrikant. Google werkt ondertussen aan updates om het ontdekte lek te dichten. Die moeten nog deze maand worden uitgerold.
Bronnen: De Morgen. Whisperair, KU Leuven
Praat mee
Altijd op de hoogte blijven van het laatste nieuws?
Meld je snel en gratis aan voor de Kassa nieuwsbrief!
