Onderzoekers van de KU Leuven hebben een kwetsbaarheid ontdekt in een Google-protocol dat bluetooth-apparaten kwetsbaar maakt voor afluisteren en volgen. Honderden miljoenen apparaten, zoals draadloze oortjes en koptelefoons van bekende merken, lopen risico. De kwetsbaarheid zit in de Google Fast Pair Service (GFPS), waarmee gebruikers apparaten eenvoudig kunnen koppelen en synchroniseren met hun Google-account.

Normaal gesproken moeten gebruikers hun apparaat in 'pairing modus' zetten om te koppelen, maar deze controle kan bij veel Fast Pair apparaten worden omzeild. Hierdoor kunnen aanvallers zonder toestemming pairen met apparaten tijdens normaal gebruik. De onderzoekers ontwikkelden twee aanvallen, genaamd WhisperPair. De eerste aanval laat een aanvaller een kwetsbare koptelefoon overnemen en gesprekken opnemen. Dit kan binnen seconden en op een afstand van veertien meter. De tweede aanval maakt tracking mogelijk via het Find Hub-netwerk van Google. Een aanvaller kan zich registreren als eigenaar van een koptelefoon en zo de locatie volgen. Anti-stalkerwaarschuwingen op Android en iOS verschijnen vaak pas na 48 uur en kunnen misleidend zijn. Bij tests op 25 apparaten van zestien fabrikanten met zeventien verschillende chipsets, konden de onderzoekers bij 68 procent de verbinding overnemen. De kwetsbaarheid komt door foutieve implementatie van de firmwarecontrole door fabrikanten. Google is geïnformeerd en werkt aan beveiligingsupdates.