Paul Arends
Dit is een goed moment om al uw Bluetooth-audioapparaten bij te werken. Donderdag meldde Bedraad een beveiligingsfout in 17 hoofdtelefoon- en luidsprekermodellen waardoor hackers toegang konden krijgen tot uw apparaten, inclusief hun microfoons. De kwetsbaarheid is het gevolg van een onjuiste implementatie van het one-tap-protocol (Fast Pair) van Google.
Beveiligingsonderzoekers van de Belgische Computer Security and Industrial Cryptography-groep aan de KU Leuven, die het beveiligingslek ontdekten, noemden het lek WhisperPair. Ze zeggen dat een hacker binnen Bluetooth-bereik alleen het (gemakkelijk verkrijgbare) apparaatmodelnummer van het accessoire en een paar seconden nodig heeft.
“Je loopt over straat met een koptelefoon op, je luistert naar muziek. In minder dan 15 seconden kunnen we je toestel kapen”, zegt Sayon Duttagupta, onderzoeker aan de KU Leuven. Bedraad. “Dat betekent dat ik de microfoon kan aanzetten en naar je omgevingsgeluid kan luisteren. Ik kan audio invoeren. Ik kan je locatie volgen.” Onderzoekers informeerden Google in augustus over WhisperPair en sindsdien werkt het bedrijf met hen samen.
Snel koppelen is bedoeld om nieuwe verbindingen alleen mogelijk te maken als het audioapparaat zich in de koppelingsmodus bevindt. (Een juiste implementatie hiervan zou deze fout hebben voorkomen.) Maar een woordvoerder van Google vertelde Engadget dat de kwetsbaarheid voortkwam uit een onjuiste implementatie van Fast Pair door enkele van zijn hardwarepartners. Hierdoor kan het apparaat van een hacker worden gekoppeld met uw hoofdtelefoon of luidspreker nadat deze al aan uw apparaat is gekoppeld.
“We waarderen de samenwerking met beveiligingsonderzoekers via ons Vulnerability Rewards-programma, dat onze gebruikers helpt beschermen”, schreef een woordvoerder van Google in een verklaring aan Engadget. “We hebben met deze onderzoekers samengewerkt om deze kwetsbaarheden aan te pakken en hebben geen bewijs gezien van enig misbruik buiten de laboratoriumomgeving van dit rapport. Als beste beveiligingspraktijk raden we gebruikers aan hun hoofdtelefoon te controleren op de nieuwste firmware-updates. We evalueren en verbeteren voortdurend de beveiliging van Fast Pair en Find Hub.”
De onderzoekers hebben de onderstaande video gemaakt om te demonstreren hoe de fout werkt
In een e-mail aan Engadget zegt Google dat de stappen die nodig zijn om toegang te krijgen tot de microfoon of audio van uw apparaat complex zijn en meerdere stappen omvatten. Aanvallers moeten ook binnen het Bluetooth-bereik blijven. Het bedrijf voegde eraan toe dat het zijn OEM-partners in september aanbevolen oplossingen heeft aangeboden. Google heeft ook zijn Validator-certificeringstool en certificeringsvereisten bijgewerkt.
Onderzoekers zeggen dat het risico in sommige gevallen ook geldt voor degenen die geen Android-telefoons gebruiken. Als het audioaccessoire bijvoorbeeld nooit aan een Google-account is gekoppeld, kan een hacker WhisperPair gebruiken om het niet alleen aan het audioapparaat te koppelen, maar het ook aan zijn Google-account te koppelen. Ze kunnen dan de Find Hub-tool van Google gebruiken om de locatie van het apparaat (en dus die van jou) te volgen.
Google zei dat het een oplossing voor zijn Find Hub-netwerk heeft uitgerold om dat specifieke scenario aan te pakken. Echter, zeiden de onderzoekers Bedraad die binnen een paar uur na de lancering van de patch een alternatieve oplossing vond.
De 17 getroffen apparaten zijn gemaakt door 10 verschillende bedrijven, die allemaal de Google Fast Pair-certificering hebben ontvangen. Onder hen bevinden zich Sony, Jabra, JBL, Marshall, Xiaomi, Nothing, OnePlus, Soundcore, Logitech en Google. (Google zegt dat de getroffen Pixel Buds al zijn gepatcht en beschermd.) Onderzoekers hebben een zoekfunctie uitgebracht waarmee je kunt zien of je audioaccessoires kwetsbaar zijn.
In een verklaring aan Engadget zegt OnePlus dat het de kwestie onderzoekt en “passende maatregelen zal nemen om de veiligheid en privacy van onze gebruikers te beschermen.” We hebben ook contact opgenomen met andere fabrikanten van accessoires en zullen dit verhaal bijwerken als we iets horen.
Onderzoekers raden aan om uw audioapparaten regelmatig bij te werken. Een van hun zorgen is echter dat veel mensen nooit de app van de externe fabrikant zullen installeren (vereist voor updates), waardoor hun apparaten kwetsbaar blijven.
Het volledige rapport van Bedraad is veel gedetailleerder en de moeite waard om te lezen.
