Onderzoekers hebben in elektrische rolstoelen van fabrikant Whill een kritiek beveiligingslek ontdekt waardoor het mogelijk is om de apparaten op afstand over te nemen. Een aanvaller binnen bluetooth-bereik kan de rolstoel besturen, de ingestelde snelheidslimiet overschrijden en configuratieprofielen aanpassen, zonder dat hiervoor enige interactie van de gebruiker is vereist. De impact van de kwetsbaarheid (CVE-2025-14346) is op een schaal van 1 tot en met 10 beoordeeld met een 9.3/9.8.

Het probleem doet zich voor bij de C2 en F modellen van Whill, die ook in Nederland worden aangeboden. De elektrische rolstoelen bieden bluetooth connectiviteit, waarbij gebruikers via de Whill-app hun rolstoel onder andere kunnen vergrendelen of ontgrendelen, de snelheid instellen en de rolstoel via hun smartphone besturen. De rolstoelen blijken geen authenticatie voor bluetooth-verbindingen te vereisen. Een aanvaller in de buurt van de rolstoel kan zijn smartphone of ander apparaat met de rolstoel pairen en die vervolgens bedienen. Whill heeft op 29 december een beveiligingsupdate uitgerold, zo meldt het Amerikaanse cyberagentschap CISA.

Onderzoekers van QED Secure Solutions die het probleem ontdekten ontwikkelden een exploit, waarbij elke kwetsbare Whill-rolstoel in de buurt wordt overgenomen. De onderzoekers deelden met SecurityWeek een videodemonstratie van hun exploit, waarbij een overgenomen rolstoel met hoge snelheid een trap afrijdt. Voor de initiële aanval moet de aanvaller binnen bluetooth-afstand van het doelwit zijn, maar volgens de onderzoekers kan een aanvaller de controle over de rolstoel behouden, ook al is die buiten de oorspronkelijke afstand.

Verder laten de onderzoekers weten dat Whill de update niet met hen heeft gedeeld, waardoor ze niet konden verifiëren of het probleem echt is verholpen. Ook is onduidelijk of de patch automatisch op alle rolstoelen wordt uitgerold.