Hackers kunnen je koptelefoon in 15 seconden kapen via Bluetooth-lek
Verenigde Staten, donderdag, 15 januari 2026.
Onderzoekers van KU Leuven ontdekten WhisperPair: een kritiek beveiligingslek in Google’s Fast Pair protocol dat honderden miljoenen koptelefoons kwetsbaar maakt. Binnen 15 meter kunnen aanvallers ongemerkt je audioapparaat kapen, je microfoon activeren en je locatie volgen via Google’s Find Hub netwerk. Van de 25 geteste apparaten was 68% kwetsbaar, waaronder populaire merken zoals Sony, JBL en Google’s eigen Pixel Buds Pro 2. Het lek ontstaat doordat fabrikanten de Fast Pair specificatie verkeerd implementeren - apparaten accepteren koppelingsverzoeken zelfs wanneer ze niet in koppelingsmodus staan. Google heeft het probleem als ‘kritiek’ geclassificeerd en werkt samen met fabrikanten aan patches, maar updates zijn nog niet voor alle apparaten beschikbaar.
Stalkers droom wordt werkelijkheid
Je loopt rustig over straat met je koptelefoon op. Binnen 15 seconden heeft een hacker je apparaat gekaapt [1]. “You’re walking down the street with your headphones on, you’re listening to some music. In less than 15 seconds, we can hijack your device”, vertelt onderzoeker Sayon Duttagupta van KU Leuven [1]. De aanvaller kan nu je microfoon activeren, audio injecteren en je locatie volgen [1]. Het ergste deel? Je merkt er niets van [8]. “The attacker now owns this device and can basically do whatever he wants with it”, waarschuwt medeondezoeker Nikola Antonijević [1]. Fabrikanten zoals Sony, JBL, Marshall, Xiaomi, Nothing, OnePlus, Soundcore, Logitech en Google zijn getroffen [1][3]. Het probleem zit in de implementatie: apparaten controleren niet of ze daadwerkelijk in koppelingsmodus staan voordat ze een verbinding accepteren [4].
Patches komen traag op gang
Google kreeg de melding al in augustus 2025 en gaf fabrikanten 150 dagen om patches te maken [3][4]. Op 14 januari 2026 publiceerde Google een beveiligingsadvies [1][3]. JBL beloofde updates “over de komende weken” via hun apps [1]. Maar hier zit een probleem: “If you don’t have the app of Sony, then you’ll never know that there’s a software update for your Sony headphones”, legt onderzoeker Seppe Wyns uit [1]. Xiaomi gaf de schuld aan “non-standard configuration by chip suppliers” [1]. Het probleem is dat je Fast Pair niet kunt uitschakelen [1]. “There’s no way to turn Fast Pair off, even if you’ll never use it”, aldus Wyns [1]. Een factory reset helpt tijdelijk, maar de kwetsbaarheid blijft bestaan [1].
Nederlandse gebruikers moeten nu handelen
Voor Nederlandse gebruikers van populaire koptelefoons is de boodschap helder: check nu je apps op updates [7]. De onderzoekers hebben een lijst gemaakt van kwetsbare apparaten op whisperpair.eu [1]. Google’s eigen Pixel Buds Pro 2 en vijf Sony modellen zijn extra risicovol omdat hackers ze kunnen koppelen aan hun Google account en je kunnen volgen via Find Hub [1]. “The victim may see an unwanted tracking notification after several hours or days, but this notification will show their own device. This may lead users to dismiss the warning as a bug”, waarschuwen de onderzoekers [4]. Google classificeerde het lek als ‘kritiek’ en kende de onderzoekers $15.000 toe [4]. Het is een les in convenience versus veiligheid: “Convenience doesn’t immediately mean less secure. But in pursuit of convenience, we should not neglect security”, concludeert Antonijević [1].