Bluetooth står på hele dagen, og det gir hackere fri adgang til høretelefonene dine

Hundrevis av millioner av trådløse hodetelefoner, ørepropper og høyttalere kan kapres uten brukerens samtykke. Sårbarheten heter WhisperPair og er sporet som CVE-2025-36911, og den ble offentliggjort 16. januar i år.

Bak avsløringen står forskere ved KU Leuven i Belgia. De viser at en angriper innenfor 14 meters avstand kan tvinge tilbehøret til å pare seg med en fremmed telefon på i snitt ti sekunder. Når koblingen er på plass, kan angriperen avspille lyd på høyt volum, lytte med mikrofonen eller spore eieren via Googles Find Hub-nettverk.

Feilen sitter i selve sammenkoblingen

Fast Pair er Googles raske sammenkoblingsprotokoll for Bluetooth-tilbehør. Tanken er at telefonen skal kjenne igjen nye hodetelefoner med ett trykk. Spesifikasjonen krever at tilbehøret bare svarer på sammenkoblingsforespørsler når brukeren aktivt har satt det i paringsmodus.

I praksis hopper mange enheter over denne sjekken. Forskerne ved KU Leuven testet 25 kommersielle enheter fra 16 leverandører og 17 ulike Bluetooth-brikkesett, og 68 prosent av dem lot seg kapre uten at eieren merket noe.

Listen over berørte produsenter er lang. Sony, Jabra, JBL, Marshall, Xiaomi, Nothing, OnePlus, Soundcore, Logitech og Google selv har enheter på listen. Det er nettopp denne typen ørepropper og hodetelefoner mange nordmenn bærer hele arbeidsdagen.

Slik foregår angrepet

Angriperen trenger ingen avansert utrustning. Med standard maskinvare kan paringen fullføres i løpet av sekunder, så lenge offeret er innen rekkevidde.

Etter sammenkoblingen får angriperen full kontroll over enheten. Det betyr at samtaler kan avlyttes via den innebygde mikrofonen, og at lyd kan sendes direkte til offerets ører. Hvis tilbehøret aldri har vært paret med en Android-telefon, kan angriperen i tillegg registrere det på sin egen Google-konto og dermed følge eierens bevegelser via Find Hub-nettverket.

Selve sårbarheten ble meldt til Google i august 2025, og selskapet klassifiserte den som kritisk. Forskerne ble belønnet med 15.000 dollar gjennom selskapets bug bounty-program, og produsentene fikk 150 dager på å rulle ut oppdateringer før detaljene ble publisert.

Hva du selv kan gjøre

Den eneste reelle løsningen er en fastvareoppdatering fra produsenten. Slike oppdateringer installeres som regel via produsentens app på telefonen, for eksempel Sony Headphones Connect eller Jabra Sound+.

Etter at fastvaren er oppdatert, bør tilbehøret tilbakestilles til fabrikkinnstillinger. Det fjerner eventuelle uautoriserte enheter som allerede har sneket seg inn på paringslisten.

Inntil patchene er på plass er det fornuftig å slå av Bluetooth når du ikke aktivt bruker tilbehøret. Angrepet krever at enheten er strømsatt og innen rekkevidde. Står hodetelefonene i etuiet eller er telefonens Bluetooth-radio av, er angrepsflaten borte. På togpendlingen, kontoret eller kafeen er det altså verdt å spørre seg om Bluetooth faktisk må stå på, eller om den like gjerne kan hvile.

For brukere som ikke har en Android-telefon i nærheten, er rådet litt mer kronglete. Forskerne anbefaler å låne en Android-enhet til å registrere eierskapet til tilbehøret i Find Hub, slik at en angriper ikke kan kapre den koblingen senere.