We dragen elke dag Bluetooth-oortelefoons, vaak zonder dat we het merken. In de metro, tijdens het wandelen, thuis, op het werk. Ze zijn een stille en geruststellende aanwezigheid geworden, een klein verlengstuk van onze smartphone. Precies om deze reden zet de ontdekking van een groep Europese onderzoekers ons aan het denken: een kwetsbaarheid kan deze veel voorkomende accessoires transformeren in volg- en luisterhulpmiddelen.

De fout heet WhisperPair en werd geïdentificeerd door onderzoekers van de Universiteit van Leuven, België. Het gaat om het Google Fast Pair systeem, dat door veel draadloze oortjes en hoofdtelefoons wordt gebruikt. Een naam die voor de meesten weinig betekent, maar die eigenlijk achter dat moment ligt waarop de telefoon de koptelefoon meteen “ziet” zodra het hoesje wordt geopend.

Wanneer gemak een probleem wordt

De kern van het probleem is simpel, en dat is precies wat het verontrustend maakt. Sommige Bluetooth-headsets accepteren verbindingsverzoeken, zelfs als dat niet zou moeten, dat wil zeggen zonder dat de gebruiker vrijwillig de koppeling heeft gestart.

In de praktijk kan een kwaadwillende persoon, als hij in de buurt is – we hebben het over een afstand vergelijkbaar met die van een bushalte – binnen enkele seconden uw oortelefoon met zijn apparaat koppelen, zonder duidelijke meldingen, zonder duidelijke waarschuwingen.

Op dat moment heb je het accessoire niet echt meer onder controle. De aanvaller kan plotselinge geluiden maken, de audio verstoren, maar vooral, in modellen die zijn uitgerust met een microfoon, luisteren naar wat er rondom gebeurt. Privégesprekken, telefoontjes, huishoudelijke geluiden. En dat allemaal zonder dat je het meteen door hebt.

Het subtielste risico

Er is een aspect dat onderzoekers nog meer zorgen baart, en dat houdt verband met lokalisatie. Sommige Fast Pair-compatibele oortelefoons werken ook met Find Hub, het volgsysteem van Google dat is ontworpen om verloren voorwerpen te vinden.

Als een hoofdtelefoon nog nooit aan een Google-account is gekoppeld, kan een aanvaller dit voor u doen. Vanaf dat moment kunnen de bewegingen van het slachtoffer worden gereconstrueerd met behulp van het netwerk van Android-smartphones die in de buurt passeren. Niet in realtime zoals een GPS, maar met voldoende precisie om gewoonten, routes en bezochte plaatsen te begrijpen. De paradox is duidelijk: een functie die is gecreëerd om te helpen kan een surveillance-instrument worden.

Een wijdverbreid probleem, geen geïsoleerd geval

De WhisperPair-kwetsbaarheid treft geen enkel model of nichefabrikant. Volgens het onderzoek hebben veel kwetsbare apparaten de kwaliteitstest- en certificeringsprocessen doorstaan, waaronder die met betrekking tot Google Fast Pair. Onder de betrokken merken bevinden zich namen die ook goed bekend zijn bij het Italiaanse publiek, zoals Sony, JBL, Xiaomi, OnePlus, Logitech en Google zelf.

De fout werd in augustus 2025 gemeld en is geclassificeerd als kritiek met de code CVE-2025-36911. Er zijn al enkele corrigerende updates gearriveerd, maar de onderzoekers zelf dringen aan op voorzichtigheid: niet alle patches lijken overtuigend.

Waar moet meer op worden gelet en waarom het niet alleen om Android gaat

Een vaak over het hoofd gezien detail is dat je geen Android-smartphone nodig hebt om zichtbaar te zijn. iPhone-gebruikers kunnen ook kwetsbaar zijn als ze Fast Pair-compatibele oortelefoons van derden gebruiken en deze nooit aan een Google-account hebben gekoppeld. Het kritische punt is eigenlijk niet de telefoon, maar de implementatie van Bluetooth in de oortelefoons zelf. En dit maakt het probleem transversaal, moeilijk waar te nemen en zelfs gemakkelijker te negeren.

We worden niet geconfronteerd met een sciencefictionaanval of een filmscenario. De operatie moet snel en dichtbij het slachtoffer plaatsvinden. Bovendien kan de aanval niet beginnen als de oortelefoons in het hoesje zijn gesloten. Dat gezegd hebbende, blijft bewustzijn de enige echte verdediging. Het updaten van de firmware van de oortelefoons, het gebruiken van officiële apps om actieve verbindingen te controleren en het niet uitstellen van systeemupdates is tegenwoordig de meest concrete manier om risico’s te verminderen.

Voor degenen die de oortelefoons al met succes aan hun account hebben gekoppeld, hun software en apps up-to-date houden en aandacht besteden aan afwijkend gedrag, is er geen reden om ongerust te zijn. Maar dit verhaal herinnert ons aan iets belangrijks: zelfs de kleinste voorwerpen, die we als vanzelfsprekend beschouwen, kunnen veel over ons vertellen.

Mogelijk bent u ook geïnteresseerd in:

Sofie Van der Meer
Sofie Van der Meer

Mijn naam is Sofie van der Meer, en ik ben de hoofdredacteur van Envirodesk. Met een achtergrond in milieujournalistiek en meer dan tien jaar ervaring in het rapporteren over klimaatbeleid en duurzaamheidsinnovaties, ben ik gepassioneerd over het gebruik van storytelling om verandering teweeg te brengen. Mijn missie is om oplossingen te versterken en actie te inspireren voor een groenere, rechtvaardigere wereld.