O vulnerabilitate gravă din Fast Pair ar fi permis ani la rând interceptarea audio prin căşti Bluetooth

O vulnerabilitate severă, catalogată drept CVE-2025-36911 şi denumită WhisperPair, a fost identificată în protocolul Fast Pair dezvoltat de Google pentru conectarea rapidă a accesoriilor Bluetooth la dispozitive Android şi iOS. Problema ar fi permis, timp de mai mulţi ani, interceptarea conversaţiilor purtate prin căşti şi boxe Bluetooth, fără ştirea utilizatorilor.
Defectul de securitate este prezent în firmware-ul a sute de milioane de accesorii compatibile Fast Pair şi nu poate fi rezolvat prin simple actualizări ale telefoanelor. WhisperPair ţine de implementarea protocolului în firmware-ul dispozitivelor audio, ceea ce înseamnă că doar acele produse pentru care producătorii oferă actualizări dedicate pot fi securizate. În cazul multor accesorii no-name sau mai vechi, problema ar putea rămâne nerezolvată pe termen lung. În plus, actualizarea firmware-ului presupune, de regulă, instalarea unei aplicaţii dedicate pe telefon, pas pe care mulţi utilizatori îl ignoră.
Cercetătorii de la grupul de Securitate Informatică şi Criptografie Industrială al universităţii KU Leuven, care au descoperit vulnerabilitatea, explică faptul că aceasta provine din modul defectuos în care unii producători au implementat protocolul Fast Pair. Deşi specificaţia oficială prevede că un accesoriu Bluetooth trebuie să ignore cererile de asociere atunci când nu este pus explicit în modul de pairing de către utilizator, mulţi producători au dezactivat această verificare pentru a face dispozitivele mai uşor de conectat.
Consecinţa este gravă: orice atacator poate iniţia o cerere de asociere, care este procesată automat de dispozitiv, fără consimţământul sau măcar cunoştinţa utilizatorului. După ce primeşte un răspuns de la accesoriul vulnerabil, atacatorul poate finaliza asocierea Bluetooth standard şi obţine acces la funcţiile dispozitivului.
Pentru declanşarea unui astfel de atac nu este nevoie de echipamente sofisticate. Un laptop obişnuit, un kit Raspberry Pi sau chiar un alt telefon, dotate cu Bluetooth şi software adecvat, sunt suficiente. Cercetătorii au demonstrat cu succes interceptarea comunicaţiilor audio pe căşti şi boxe de la producători precum Google, Jabra, JBL, Logitech, Marshall, Nothing, OnePlus, Sony, Soundcore şi Xiaomi, de la distanţe de până la 14 metri. Întregul proces se poate realiza în câteva secunde, fără interacţiune din partea utilizatorului şi fără acces fizic la dispozitiv.
Mai mult, odată realizată asocierea, atacatorul poate obţine control complet asupra accesoriului audio. Acesta poate reda sunete la volum ridicat sau poate transforma dispozitivul într-un instrument de ascultare ambientală, prin activarea microfonului integrat.
Vulnerabilitatea permite inclusiv urmărirea locaţiei victimelor prin reţeaua Google Find Hub, în situaţiile în care accesoriul nu a fost niciodată asociat cu un telefon Android. Atacatorul poate adăuga dispozitivul în propriul cont Google, iar victima ar putea primi o notificare de urmărire nedorită abia după ore sau zile. Problema este că alerta afişează propriul dispozitiv, ceea ce îi poate face pe utilizatori să o considere o eroare şi să o ignore, permiţând urmărirea pe termen lung.
Singura măsură reală de protecţie este instalarea actualizărilor de firmware oferite de producătorul accesoriului Bluetooth. Dezactivarea funcţiei Fast Pair pe telefonul Android nu previne atacul, deoarece funcţia rămâne activă la nivelul accesoriului. În lipsa unui update de firmware, dispozitivele afectate rămân permanent vulnerabile, iar singura soluţie definitivă poate fi înlocuirea lor.