Badacze ostrzegają, iż luka w zabezpieczeniach implementacji Google Fast Pair w akcesoriach audio Bluetooth może zostać wykorzystana do wymuszenia połączeń z urządzeniami kontrolowanymi przez atakujących.
Problem o krytycznym znaczeniu został oznaczony numerem CVE-2025-36911. Wynika z błędu logicznego w kodzie parowania opartym na kluczach, polegającego na tym, iż urządzenia nie sprawdzają, czy są w trybie parowania. Zawiłe? Poniżej wyjaśniamy szczegóły.
Na czym polega Fast Pair?
Google Fast Pair umożliwia szybkie parowanie i synchronizację kont z akcesoriami Bluetooth, takimi jak słuchawki douszne, nauszne oraz głośniki, dzięki jednego dotknięcia.
Specyfikacja Fast Pair stanowi, iż procedura parowania powinna być wykonywana tylko wtedy, gdy akcesorium jest w trybie parowania, jednak modele wielu marek nie sprawdzają statusu parowania urządzenia.
Nieprawidłowe implementacje Fast Pair otwierają drogę do serii ataków nazwanych WhisperPair, które pozwalają atakującym przejąć kontrolę nad podatnymi na ataki akcesoriami. Atak opisali naukowcy z grupy ds. bezpieczeństwa komputerowego i kryptografii przemysłowej belgijskiego Uniwersytetu Katolickiego w Leuven.
„WhisperPair umożliwia atakującym wymuszone sparowanie podatnego na ataki akcesorium Fast Pair (np. bezprzewodowych słuchawek) z urządzeniem kontrolowanym przez atakującego (np. laptopem) bez zgody użytkownika” – twierdzą badacze.
Ta wada bezpieczeństwa pozwala atakującym w zasięgu do 14 metrów rozpocząć proces parowania i „zakończyć procedurę Fast Pair poprzez nawiązanie standardowego parowania Bluetooth” w ciągu kilku sekund.
„Daje to atakującemu pełną kontrolę nad akcesorium, umożliwiając mu odtwarzanie dźwięku z dużą głośnością lub nagrywanie rozmów dzięki mikrofonu” – zauważają naukowcy.
Jak śledzić użytkowników?
Według belgijskich specjalistów WhisperPair może być używany również do śledzenia użytkowników, jeżeli ich urządzenia obsługują sieć Google Find Hub i nigdy wcześniej nie były sparowane z urządzeniem z Androidem.
Naukowcy wyjaśniają, iż podczas łączenia się z akcesorium urządzenia z Androidem zapisują na nim klucz konta (Account Key) służący do ustalenia „prawa własności”. W ten sposób atakujący jest oznaczany jako właściciel, jeżeli ofiara nigdy nie łączyła swojego akcesorium z urządzeniem z Androidem.
Atakujący mogą hakować podatne na ataki akcesoria, dodając je dzięki własnych kont Google, a następnie śledzić urządzenia i ich użytkowników.
„Ofiara może zobaczyć niechciane powiadomienie o śledzeniu po kilku godzinach lub dniach, ale powiadomienie to będzie dotyczyć jej własnego urządzenia. Może to skłonić użytkowników do zignorowania ostrzeżenia jako błędu, umożliwiając atakującemu śledzenie ofiary przez dłuższy czas” – twierdzą naukowcy.
Urządzenia podatne na ataki i poprawki
Badacze zauważają, iż problem dotyczy wielu modeli urządzeń różnych dostawców, mimo iż przeszły one „testy jakości producentów i proces certyfikacji Google”.
„Niezabezpieczone implementacje przez cały czas trafiają na rynek na dużą skalę. Świadczy to o szeregu błędów zgodności w Google Fast Pair, ponieważ luka nie została wykryta na wszystkich trzech poziomach: implementacji, walidacji i certyfikacji” – zauważają naukowcy.
Google, Jabra, JBL, Logitech, Marshall, Nothing, OnePlus, Sony, Soundcore i Xiaomi mają na rynku podatne na ataki produkty. Łącznie setki milionów urządzeń może być dotkniętych tym problemem.
Badacze nie udostępnili publicznie implementacji WhisperPair, ale powiadomili Google o błędzie w sierpniu 2025 roku. Za swoje odkrycia otrzymali nagrodę w wysokości 15 000 dolarów.
W tym tygodniu Google wprowadziło nową aktualizację zabezpieczeń dla urządzeń Pixel, aby rozwiązać problem.
Według naukowców aktualizacja telefonów z Androidem nie wystarczy. Użytkownicy muszą również zainstalować poprawki systemu układowego, które wielu producentów już wydało dla swoich akcesoriów.
„Ponieważ funkcji Google Fast Pair nie można wyłączyć, jedynym sposobem na zapobiegnięcie atakom WhisperPair jest wykonanie aktualizacji oprogramowania. Aby dowiedzieć się, jak zainstalować aktualizację oprogramowania, należy zapoznać się z instrukcją obsługi akcesorium” – informują badacze.
