Honderden miljoenen koptelefoons en speakers kunnen gehackt worden

Zeventien modellen koptelefoons en speakers hebben dringend een patch nodig. De apparaten, die allemaal Google’s Fast Pair Bluetooth gebruiken, hebben kwetsbaarheden die het mogelijk maken voor hackers om toegang te krijgen tot het apparatuur.

Daar zijn beveiligingsonderzoekers van KU Leuven achter gekomen (via Wired). Het gaat om koptelefoons en speakers van bedrijven als Google, Sony, JBL, Nothing, Xiaomi, Soundcore, OnePlus, Jabra, Marshall en Logitech.

De apparaten van bovenstaande bedrijven hebben allen wat met elkaar gemeen: ze maken gebruik van een Google-technologie genaamd Fast Pair. Dit geeft gebruikers de mogelijkheid om hun koptelefoons en speakers met één simpele klik te verbinden met ChromeOS- en Android-apparaten. Deze techniek is met de beste bedoelingen bedacht om het gebruik van het audioapparatuur zo gebruiksvriendelijk mogelijk te maken, en dat is ook gelukt.

Het grote probleem is dat er kwetsbaarheden zijn ontdekt in Fast Pair. Dat houdt simpel gezegd in dat kwaadwillende mensen dezelfde techniek kunnen gebruiken om controle te krijgen over de speakers en microfoons die onderdeel uitmaken van het apparatuur. In sommige gevallen kan men zelfs achter de locatie van de gebruiker komen.

De onderzoekers van KU Leuven hebben een hackerstechniek die ze WhisperPair noemen gebruikt om aan te tonen dat iedereen die zich in een straal van ongeveer 15 meter van de bluetooth-apparaten bevindt stilletjes controle kunnen krijgen over het audioapparatuur.

Vervolgens kan men hier verschillende dingen mee doen, afhankelijk van het audioapparaat en voor welke doeleinden deze gebruikt wordt. Denk bijvoorbeeld aan de mogelijkheid om een speaker of koptelefoon op een andere volume te zetten, of controle over de microfoon te krijgen om omgevingsgeluiden of zelfs complete telefoongesprekken af te luisteren.

Aldus KU Leuven-onderzoeken Sayon Duttagupta via Wired: “Je loopt over straat met je koptelefoon op en luistert naar muziek. Binnen 15 seconden kunnen ze je apparaat overnemen. Dat betekent dat ze je microfoon kunnen inschakelen en naar je omgevingsgeluid kunnen luisteren. Ze kunnen zelf audio afspelen. Ze kunnen je locatie achterhalen.” In onderstaande video wordt dit gedemonstreerd.

Google is gelukkig ook op de hoogte van de situatie en erkent het probleem. Google heeft dan ook al diverse bedrijven op de hoogte gesteld, en sommigen van hen hebben al updates uitgebracht. Google laat daarnaast ook weten dat buiten de onderzoeken zover bekend nog niemand met kwade wil gebruik heeft gemaakt van de kwetsbaarheden, al melden de onderzoekers van KU Leuven dat Google geen manier heeft om dit te controleren.

Het grote probleem is daarbij vooral dat de vele miljoenen eigenaren van audioapparatuur er niet aan denken om hun koptelefoon of speaker te updaten. In veel gevallen voelt het updaten van dergelijk apparatuur ook omslachtig: mensen moeten vaak eerst een app van het bedrijf achter het apparaat downloaden op hun computer. De onderzoekers van KU Leuven waarschuwen dan ook dat de veiligheidsproblemen zich nog jaren voor kunnen doen.

De onderzoekers benadrukken dan ook dat de producenten van audioapparatuur voortaan prioriteit moeten geven aan de beveiliging bij dergelijke features. Bluetooth zelf is immers wel een veilige technologie – het is puur Google’s Fast Pair-technologie die de kwetsbaarheden heeft toegevoegd. De onderzoekers stellen dat het gemak dankzij dergelijke technologieën niet per definitie onveilig is, maar dat veiligheid nooit uit het oog verloren mag worden bij de ontwikkeling hiervan.