En kritisk sårbarhed i Bluetooth-lydudstyr kan gøre det muligt for hackere at aflytte private samtaler gennem hovedtelefoner, earbuds og højttalere – helt uden at brugeren opdager det.
Fejlen rammer Googles Fast Pair-teknologi og er døbt WhisperPair (CVE-2025-36911).
Ifølge sikkerhedsforskere fra det største universitet i Belgien KU Leuven kan angribere overtage trådløse lydenheder og lytte med via enhedernes mikrofoner, hvis de befinder sig inden for cirka 14 meters afstand, skriver det amerikanske magasin Wired.
Sårbarheden ligger i selve tilbehøret – ikke i telefonen – og rammer derfor både Android- og iPhone-brugere. Mange producenter har ifølge forskerne undladt at håndhæve en grundlæggende sikkerhedsregel i Fast Pair-protokollen, som ellers kræver, at enheder ignorerer parringsforsøg, når de ikke aktivt er sat i parringstilstand.
Det betyder, at en angriber i praksis kan tvinge sig adgang til en Bluetooth-enhed, parre sig med den og derefter både afspille lyd og aflytte samtaler gennem den indbyggede mikrofon. Angrebet kræver hverken fysisk adgang eller brugerinteraktion og kan udføres med almindeligt Bluetooth-udstyr.
Svært at opdatere på firmwaren
Ifølge forskerne kan enheder fra blandt andre fra danske Jabra, Sony, JBL og Xiaomi være sårbare.
Derudover kan hackere misbruge Googles sporingsnetværk til at følge ofrets bevægelser over tid.
“Brugeren kan godt få en advarsel, men den vil ofte fremstå som en fejl og blive ignoreret,” advarer forskerne.
Google har udbetalt den maksimale bug bounty på 15.000 dollar og arbejdet med producenterne om opdateringer, men sikkerhedsrettelser er endnu ikke tilgængelige til alle enheder.
Fast Pair kan ikke deaktiveres på selve udstyret. Den eneste reelle beskyttelse er at installere firmwareopdateringer, hvis og når de bliver tilgængelige.
