Etichetată CVE-2025-36911 și botezată WhisperPair, vulnerabilitatea descoperită în protocolul Fast Pair dezvoltat de Google pentru a facilita conectarea căștilor bluetooth la dispozitive cu Android și iOS a permis probabil ani de-a rândul ascultarea conversațiilor purtate prin accesorii bluetooth.
Prezentă în firmware-ul a sute de milioane de căști bluetooth și boxe wireless prevăzute cu protocolul Fast Pair, această vulnerabilitate nu poate fi corectată pur și simplu prin actualizarea telefoanelor cu Android, WhisperPair rezidând de fapt în firmware-ul dispozitivelor. Altfel spus, chiar dacă dispozitive relativ recente și semnate de producători cunoscuți vor putea fi remediate pe calea actualizărilor de firmware, multe alte accesorii din categoria no-name vor rămâne cu această problemă mult timp de acum înainte. În plus, pentru aplicarea actualizărilor de firmware este necesară prezența pe telefonul mobil a unei aplicații dedicate pentru căștile respective, mulți utilizatori omițând să o instaleze.
Cercetătorii din cadrul grupului de Securitate Informatică și Criptografie Industrială de la KU Leuven care au descoperit WhisperPair explică faptul că vulnerabilitatea provine din implementarea necorespunzătoare a protocolului Fast Pair la nivelul producătorilor de accesorii audio.
Concret, deși specificațiile Fast Pair prevăd ca dispozitivele Bluetooth să ignore solicitările de asociere atunci când nu sunt în comutate de utilizator în modul de asociere (ex. prin apăsarea unui buton dedicat), din dorința de a face dispozitivele respective mai ușor de conectat și utilizat foarte mulți producători au lăsat această verificare dezactivată. Iar rezultatul e că oricine poate iniția comanda de asociere, procesată de microprocesorul dispozitivului fără consimțământul sau știrea utilizatorului:
„Pentru a începe procedura de asociere rapidă, un Seeker (un telefon) trimite un mesaj către Provider (un accesoriu) indicând faptul că dorește să se asocieze. Specificația Fast Pair prevede că, dacă accesoriul nu este în modul de asociere, acesta ar trebui să ignore astfel de mesaje”, au declarat cercetătorii .
”După ce primește un răspuns de la dispozitivul vulnerabil, un atacator poate finaliza procedura de asociere rapidă prin stabilirea unei asocieri Bluetooth obișnuite.”
Atacul inițiat pentru interceptarea comunicațiilor audio poate fi declanșat un banal laptop, un kit Raspberry Pi sau chiar un alt telefon mobil, prevăzut cu conexiune bluetooth și software-ul necesar pentru exploatarea acestei vulnerabilități. Potrivit echipei de cercetători, vulnerabilitatea WhisperPair a fost testată cu succes pentru interceptarea comunicațiilor purtate prin căști bluetooth de la Google, Jabra, JBL, Logitech, Marshall, Nothing, OnePlus, Sony, Soundcore și Xiaomi la distanțe de până la 14 metri, conectarea fiind inițiată în câteva secunde și fără interacțiunea utilizatorului sau acces fizic asupra dispozitivului vizat.
Mai mult decât atât, după asociere și conectarea inițială este obținut controlul complet asupra dispozitivului audio, care poate fi folosit pentru a reda sunet la volum mare sau chiar pentru transformarea într-un dispozitiv de ascultare prin activarea microfonului.
CVE-2025-36911 permite, de asemenea, atacatorilor să urmărească locația victimelor lor folosind rețeaua Find Hub de la Google, dacă accesoriul nu a fost niciodată asociat cu un dispozitiv Android, prin adăugarea dispozitivului la propriul cont Google.
„Victima poate vedea o notificare de urmărire nedorită după câteva ore sau zile, dar această notificare va afișa propriul dispozitiv”, au adăugat ei. „Acest lucru poate determina utilizatorii să respingă avertismentul ca fiind o eroare, permițând unui atacator să continue să urmărească victima pentru o perioadă extinsă.”
Singura modalitate prin care te poți proteja împotriva atacatorilor care vizează deturnarea de accesorii Bluetooth este instalarea actualizărilor de firmware distribuite de producătorul dispozitivului. Dezactivarea funcției Fast Pair pe telefoanele cu Android nu previne atacul, deoarece funcția nu poate fi dezactivată pe accesoriile în sine. Altfel spus, în lipsa, în lipsa actualizărilor de firmware accesoriile respective rămânând permanent vulnerabile, problema putând fi remediată doar prin înlocuirea fizică a acestora.
