Pas op voor Bluetooth-hoofdtelefoons: onderzoekers ontdekken dat je kunt worden bespioneerd zonder dat je het weet

In de metro, tijdens het wandelen, thuis, op het werk... Bluetooth hoofdtelefoons zijn een stille en geruststellende aanwezigheid geworden, een klein verlengstuk van onze smartphone. Juist daarom is de ontdekking van een groep Europese onderzoekers zorgwekkend.

Volgens de onderzoekers kan een zwakte dit alledaagse accessoire veranderen in een hulpmiddel voor tracking en afluisteren.

Het lek heet WhisperPair en werd ontdekt door onderzoekers van de KU Leuven Universiteit in België. Het heeft direct betrekking op het Google Fast Pair systeem, dat wordt gebruikt door een groot aantal draadloze koptelefoons en oortelefoons. Een naam die de meeste mensen misschien niet veel zegt, maar het staat voor dat precieze moment waarop je telefoon je koptelefoon meteen 'ziet' zodra je de hoes opent.

Wanneer gemak een probleem wordt

De kern van het probleem is simpel, en dat is precies wat het lastig maakt. Sommige Bluetooth-hoofdtelefoons accepteren verbindingsverzoeken zelfs wanneer ze dat niet zouden moeten doen, d.w.z. zonder dat de gebruiker het koppelingsproces opzettelijk in gang zet.

In de praktijk, als een kwaadwillende persoon in de buurt is (we hebben het over een afstand vergelijkbaar met die van een bushalte), kan hij je hoofdtelefoon binnen enkele seconden koppelen met zijn eigen apparaat, zonder duidelijke meldingen of duidelijke waarschuwingen.

Zodra het proces is begonnen, heb je het accessoire niet echt meer onder controle. De aanvaller kan plotselinge geluiden afspelen, het geluid verstoren en vooral meeluisteren met wat er om je heen gebeurt op modellen die zijn uitgerust met een microfoon. Privégesprekken, telefoongesprekken, huiselijke geluiden worden gevolgd zonder dat je het meteen doorhebt.

Een subtieler risico

Er is echter één aspect dat onderzoekers nog meer zorgen baart, en dat is locatiebepaling. Sommige hoofdtelefoons die geschikt zijn voor Fast Pair werken immers ook met 'Find My Device' , het volgsysteem van Google dat is ontworpen om verloren voorwerpen terug te vinden.

Als een koptelefoon nooit aan een Google-account is gekoppeld, kan een aanvaller dat voor je doen. Vanaf dat moment kunnen de bewegingen van het slachtoffer worden gereconstrueerd door gebruik te maken van het netwerk van Android smartphones die in de buurt zijn. Niet in real time zoals GPS, maar met genoeg precisie om hun gewoonten, routes en de plaatsen die ze vaak bezoeken te begrijpen. De paradox is duidelijk: een functie die oorspronkelijk was ontworpen om te helpen, kan snel een bewakingsmiddel worden.

Een wijdverspreid probleem, geen geïsoleerd geval

De fout in WhisperPair betreft niet een enkel model of een nichefabrikant. Volgens het onderzoek hebben veel kwetsbare apparaten kwaliteitstests en certificeringsprocessen doorstaan, waaronder die gekoppeld aan Google Fast Pair. Onder de betrokken merken bevinden zich enkele bekende namen, waaronder Sony, JBL, Xiaomi, OnePlus, Logitech en Google zelf.

Het lek werd gemeld in augustus 2025 en is geclassificeerd als kritiek, onder de code CVE-2025-36911. Er zijn al enkele correctieve updates uitgebracht, maar de onderzoekers raden zelf voorzichtigheid aan: niet alle patches lijken definitief te zijn.

Wees voorzichtig

En wees voorzichtig, want je hebt niet echt een Android-smartphone nodig om blootgesteld te worden. Zelfs iPhone-bezitters kunnen zich in een kwetsbare positie bevinden als ze een Fast Pair-compatibele hoofdtelefoon van derden gebruiken en deze nooit aan een Google-account hebben gekoppeld. Het kritieke punt is in feite niet de telefoon, maar de Bluetooth-implementatie in de hoofdtelefoon zelf.

Om succesvol te zijn, moet de operatie snel en dicht bij het slachtoffer worden uitgevoerd. Bovendien kan de aanval niet worden uitgevoerd als de hoofdtelefoon is uitgeschakeld en in het etui zit.

Vandaag de dag is bewustzijn de enige echte verdediging. De firmware van je koptelefoon updaten, officiële applicaties gebruiken om actieve verbindingen te controleren en systeemupdates niet uitstellen zijn momenteel de meest praktische manieren om de risico's te beperken.

Bron: Whisperpair.eu

(EJ/©GreenMe.it/Vertaling en bewerking: The Global Lifestyle/Illustratie: C D-X via Unsplash)