WhisperPair (CVE-2025-36911): jak błąd w Google Fast Pair pozwala przejąć słuchawki i… śledzić użytkownika

Wprowadzenie do problemu / definicja luki

WhisperPair to nazwa rodziny ataków wynikających z niepoprawnych implementacji Google Fast Pair w akcesoriach Bluetooth (głównie słuchawki, douszne, głośniki). W praktyce oznacza to, iż napastnik znajdujący się w zasięgu Bluetooth może wymusić sparowanie z Twoim akcesorium — bez klikania „paruj” po Twojej stronie — a następnie uzyskać nad nim kontrolę.

Problem jest śledzony jako CVE-2025-36911. Opis w rejestrze NVD wskazuje na błąd logiki w „key-based pairing”, który może prowadzić do ujawnienia informacji (m.in. rozmów i lokalizacji) przy ataku w bliskiej odległości i bez interakcji użytkownika.

W skrócie

• Co jest podatne? Wiele akcesoriów Bluetooth z Fast Pair, u których producent/chipset nie egzekwuje kluczowego warunku: parowanie Fast Pair ma zachodzić tylko w trybie parowania.
• Jak blisko musi być atakujący? W testach badaczy atak działał do ok. 14 metrów (ok. 46 ft) i trwał zwykle ~10 sekund.
• Co może zrobić napastnik? M.in. wstrzykiwać dźwięk, podbijać głośność, przejmować mikrofon (zależnie od modelu) oraz w pewnych scenariuszach śledzić lokalizację przez Google Find Hub.
• Czy da się to „wyłączyć” w telefonie? Nie w sposób, który realnie usuwa ryzyko, bo problem siedzi w firmware akcesorium i jego obsłudze Fast Pair. Skuteczne są aktualizacje systemu akcesorium od producenta.

Kontekst / historia / powiązania

Badacze z KU Leuven (grupy COSIC i DistriNet) wskazują, iż mechanizm Fast Pair został zaprojektowany pod „usability first”, co w praktyce osłabiło gwarancje bezpieczeństwa i prywatności, które użytkownicy kojarzą z klasycznym parowaniem Bluetooth.

Z perspektywy procesu bezpieczeństwa szczególnie niepokojące jest to, iż podatne urządzenia miały przejść zarówno testy producentów, jak i elementy walidacji/certyfikacji w ekosystemie Fast Pair — a mimo to błędne implementacje trafiły masowo na rynek.

W ramach responsible disclosure badacze zgłosili problem do Google w sierpniu 2025, uzgodniono 150-dniowe okno ujawnienia, a luka dostała identyfikator CVE.

Analiza techniczna / szczegóły luki

1) Główna przyczyna: brak weryfikacji trybu parowania

W specyfikacji Fast Pair najważniejszy jest warunek: jeżeli akcesorium nie jest w pairing mode, powinno ignorować komunikaty inicjujące procedurę Fast Pair. WhisperPair wykorzystuje fakt, iż wiele urządzeń nie egzekwuje tego kroku (albo robi to błędnie), więc nieautoryzowany „Seeker” może rozpocząć proces.

2) „Dopięcie” ataku zwykłym parowaniem Bluetooth

Po uzyskaniu odpowiedzi od podatnego akcesorium atakujący może „dokończyć” całość poprzez ustanowienie regularnego parowania Bluetooth — co finalnie skutkuje przejęciem funkcji urządzenia (audio/mikrofon zależnie od modelu).

3) Model ID i skala „masowości”

W praktycznych scenariuszach ataku znaczenie ma pozyskanie Model ID konkretnego modelu. WIRED opisuje, iż może to wynikać z posiadania tego samego modelu, z ujawnienia ID podczas prób parowania, a badacze wskazali też możliwość masowego ustalenia ID poprzez publicznie dostępne mechanizmy/API.

4) Najbardziej dotkliwy wariant: śledzenie przez Find Hub

W wybranych urządzeniach wspierających Find Hub możliwy jest scenariusz, w którym atakujący zapisuje w akcesorium własny Account Key i zostaje oznaczony jako „właściciel” — szczególnie wtedy, gdy ofiara nigdy nie parowała akcesorium z Androidem (np. używa go wyłącznie z iPhone’em). Wtedy akcesorium może stać się „beaconem” do śledzenia po sieci Find Hub.

Praktyczne konsekwencje / ryzyko

• Podsłuch otoczenia / przejęcie mikrofonu: w modelach z mikrofonem napastnik może próbować przejąć tor audio i uzyskać wgląd w rozmowy/otoczenie (ryzyko zależy od implementacji i systemu, ale scenariusz jest kluczowym elementem opisu WhisperPair).
• Ataki typu harassment/safety: wstrzyknięcie dźwięku lub ustawienie bardzo wysokiej głośności w słuchawkach to nie tylko „psikus” — w skrajnych przypadkach może stworzyć realne ryzyko (rozproszenie kierowcy, uraz słuchu).
• Stalking i prywatność: wariant Find Hub to najpoważniejszy scenariusz — lokalizacja może być raportowana „crowdsourcowo” przez urządzenia w pobliżu. Co gorsza, powiadomienia anty-tracking mogą wprowadzać w błąd (alert pokazuje „Twoje własne urządzenie”), przez co użytkownik może je zignorować.
• Ryzyko długiego ogona: choćby jeżeli łatki istnieją, w praktyce użytkownicy rzadko aktualizują firmware akcesoriów (często wymagane są aplikacje producentów), więc podatność może „żyć” miesiącami lub latami w terenie.

Rekomendacje operacyjne / co zrobić teraz

1. Zaktualizuj firmware akcesorium (priorytet #1)
   WhisperPair jest naprawialne tylko przez aktualizacje po stronie producenta akcesorium (aplikacja mobilna producenta / narzędzie desktopowe / OTA zależnie od marki).
2. Sprawdź, czy Twój model jest na liście podatnych/załatanych
   Strona projektu oferuje wyszukiwarkę „Is my device vulnerable?”, która ułatwia weryfikację modelu oraz statusu poprawek.
3. Jeśli używasz akcesorium z iPhone’em, potraktuj ryzyko poważnie
   To właśnie „niepowiązanie z Androidem” bywa warunkiem wejściowym do scenariusza przejęcia „własności” i śledzenia przez Find Hub.
4. Reakcja incydentowa (gdy podejrzewasz przejęcie)
   • wykonaj factory reset akcesorium (usunie parowania, ale nie naprawi luki),
   • natychmiast wgraj aktualizację, jeżeli jest dostępna,
   • przejrzyj ustawienia/alerty dotyczące śledzenia (Find Hub / systemowe powiadomienia anty-tracking).
5. Dla zespołów bezpieczeństwa / IT
   • zidentyfikuj w organizacji urządzenia audio z Fast Pair (szczególnie w działach wrażliwych: zarząd, SOC, prawny),
   • wdroż politykę „firmware hygiene” dla akcesoriów (aktualizacje + dopuszczone modele),
   • rozważ ograniczenia użycia słuchawek/głośników z mikrofonem w strefach poufnych do czasu potwierdzenia poprawek.

Różnice / porównania z innymi przypadkami (jeśli dotyczy)

• To nie jest klasyczny „Bluetooth stack RCE” (jak historyczne podatności typu BlueBorne). Tu rdzeń problemu siedzi w warstwie protokołu/parowania Fast Pair i w błędach implementacyjnych producentów akcesoriów.
• „Usability feature” jako mnożnik ryzyka: Fast Pair ma skracać czas i tarcie w parowaniu — i dokładnie to samo (brak tarcia) staje się atutem napastnika: szybkie, ciche przejęcie w kilkanaście sekund w zasięgu BLE/BT.
• Nietypowy wektor prywatności: połączenie przejęcia parowania z ekosystemem lokalizacji (Find Hub) tworzy scenariusz stalkingowy, którego nie da się sprowadzić do „ktoś podsłuchał po Bluetooth”.

Podsumowanie / najważniejsze wnioski

WhisperPair (CVE-2025-36911) pokazuje, jak pozornie niewielki „dodatek” do Bluetooth (Fast Pair) może stworzyć dużą powierzchnię ataku: od cichego przejęcia słuchawek w pobliżu, po realne ryzyko śledzenia przez Find Hub.

Najważniejszy wniosek praktyczny jest prosty: nie wystarczy aktualizacja telefonu ani wyłączenie podpowiedzi Fast Pair — trzeba zaktualizować firmware samego akcesorium i monitorować komunikaty producenta.

Źródła / bibliografia

1. SecurityWeek – „WhisperPair Attack Leaves Millions of Audio Accessories Open to Hijacking” (SecurityWeek)
2. WhisperPair.eu – strona projektu badaczy (opis ataków, Q&A, mitigacje) (whisperpair.eu)
3. WIRED – „Hundreds of Millions of Audio Devices Need a Patch to Prevent Wireless Hacking and Tracking” (WIRED)
4. KU Leuven – komunikat „Hijacking Bluetooth Accessories Using Google Fast Pair” (eng.kuleuven.be)
5. NVD (NIST) – rekord CVE-2025-36911 (nvd.nist.gov)