Anche se non direi "impossibile", posso dire che non devi preoccuparti.
Le cuffie non hanno spazio di archiviazione che potrebbe essere utilizzato per archiviare malware. Inoltre, di solito non inviano attivamente molti dati al telefono a cui sono collegati che potrebbero essere utilizzati. Ad esempio, invia i dati audio solo se è presente un microfono e forse alcuni semplici segnali di riproduzione / arresto / salto / aumento / diminuzione del volume. Tuttavia, non inviano comandi complessi come "installa un driver" o altri comandi più complicati che potrebbero avere un bug che potrebbe essere sfruttato.
Forse si potrebbe creare una cuffia falsa che sfrutti un bug che potrebbe in qualche modo eseguire qualcosa sul dispositivo. Tuttavia, ciò non accadrà sulle cuffie comuni che tu o il tuo amico avete, di sicuro. Potrebbe essere possibile soprattutto quando si parla di cuffie USB o bluetooth, poiché utilizzano un canale di comunicazione più flessibile, ed è più difficile, ma non impossibile, in quelle comuni jack - es. dai un'occhiata a questi lettori di schede - nota che per questo avresti bisogno di un software difettoso che si aspetta che altri dati nel jack audio, come un software di lettore di schede, preinstallato per essere sfruttato).
Come accennato in un commento alla tua domanda, la cosa più importante da fare quando prendi in prestito una cuffia potrebbe essere "pulire gli auricolari con alcol denaturato". A parte questo, non preoccuparti!