Morten Lyhne Petersen
En sårbarhed i Googles Fast Pair-protokol lader fremmede kapre populære trådløse hovedtelefoner uden et eneste klik.
Fejlen, der har fået navnet WhisperPair, blev offentliggjort tidligere i år af sikkerhedsforskere ved det belgiske universitet KU Leuven og rammer hundredevis af millioner Bluetooth-enheder fra blandt andre Sony, JBL, Xiaomi, Jabra og Marshall. En angriber inden for cirka 14 meter kan tvinge en parring igennem, aflytte lyd via mikrofonen, afspille lyd på maks volumen og i nogle tilfælde spore enhedens placering.
Ingen advarsel, ingen tryk på knappen, ingen mulighed for at sige nej.
“Vi har fundet, at en lille brugervenligheds-tilføjelse, der skulle gøre parring nemmere, har introduceret storstilet sikkerheds- og privatlivsrisiko for hundreder af millioner brugere,” skriver forskergrupperne COSIC og DistriNet i en meddelelse fra KU Leuven.
Sådan virker angrebet
Fast Pair er den teknologi, der får et par AirPods-lignende headsets til at poppe op på en Android-telefon, så snart de tændes i nærheden. Protokollen forudsætter, at headsettet kun reagerer, når brugeren aktivt har sat det i parringstilstand. Men i KU Leuvens test af 25 enheder fra 16 producenter sprang 68 procent af modellerne det tjek over og lod sig parre uanset, om de var i normal brug eller lå i tasken.
Forskerne har bekræftet sårbarheden på populære modeller som Sony WH-1000XM5, WH-1000XM6, WF-1000XM5 og WH-CH720N samt JBL Tune Beam, Jabra Elite 8 Active, Marshall Motif II A.N.C. og Xiaomi Redmi Buds 5 Pro. Listen rammer altså flere af de bedst sælgende hovedtelefoner i Danmark.
Sårbarheden har fået betegnelsen CVE-2025-36911, og angrebet kan ifølge Kaspersky gennemføres på cirka ti sekunder. Hvis en angriber når at parre headsettet før den retmæssige ejer, kan vedkommende registrere sig som ejer i Googles Find Hub-netværk og dermed følge offerets bevægelser uden afstandsbegrænsning.
TP-Link sender opsætningsdata ukrypteret
WhisperPair står ikke alene. Den 28. maj offentliggjorde TP-Link en sikkerhedsadvarsel om, at flere af deres Tapo-produkter sender opsætningsdata i klartekst over Bluetooth under den indledende installation. Det gælder smartpæren Tapo L535E, smartstikket Tapo P300 og videodørklokken Tapo D100C, der alle bruges flittigt i danske hjem.
“En angriber inden for Bluetooth-rækkevidde kan udnytte denne adfærd ved brug af Bluetooth-aflytning eller man-in-the-middle-teknikker,” skriver TP-Link i advarslen. Producenten har udsendt opdateret firmware til de berørte modeller, men opdateringen kommer ikke automatisk, brugerne skal selv åbne Tapo-appen og installere den.
Hvad du selv kan gøre nu
For både Sony, JBL og de andre Fast Pair-headsets gælder, at en simpel softwareopdatering af telefonen ikke er nok. Patchen skal ind i selve hovedtelefonens firmware via producentens app, og derefter bør enheden nulstilles til fabriksindstillinger, så en eventuel allerede plantet ejernøgle fjernes.
Google har koordineret rettelser med producenterne, og Pixel Buds Pro 2 er blandt de første, der har fået lukket hullet. For øvrige mærker er status mere broget. KU Leuven driver en oversigt over de testede modeller på whisperpair.eu, hvor man kan slå sin egen enhed op.
For iPhone-brugere er problemet ekstra ubehageligt. Headsettet har ikke nødvendigvis været parret med en Android-konto i forvejen, og dermed kan en angriber lægge sin egen ejernøgle ind først. Den tekniske anbefaling fra Kaspersky er at låne en Android-telefon og parre headsettet der, før nogen anden når det.
Indtil firmware-opdateringen er installeret, anbefales det at slukke headsettet, når det ikke er i brug, og holde Tapo-enheder ude af offentligt tilgængelige områder under den første opsætning.
