Μια κρίσιμη ευπάθεια στο πρωτόκολλο Fast Pair της Google που επιτρέπει στους εισβολείς να παραβιάζουν αξεσουάρ ήχου Bluetooth και να παρακολουθούν τους χρήστες χωρίς τη γνώση ή τη συγκατάθεσή τους.
Ερευνητές ασφαλείας από το KU Leuven ανακάλυψαν μια ευπάθεια, η οποία παρακολουθείται ως CVE-2025-36911 και ονομάζεται WhisperPair, η οποία επηρεάζει εκατοντάδες εκατομμύρια ασύρματα ακουστικά, ακουστικά και ηχεία μεγάλων κατασκευαστών.
Συμπεριλαμβανομένων των Sony, Anker, Google, Jabra, JBL, Logitech, Marshall, Nothing, OnePlus, Soundcore και Xiaomi.
Η Google χαρακτήρισε το ζήτημα ως κρίσιμο και απένειμε στους ερευνητές τη μέγιστη δυνατή επιβράβευση των 15.000 $. Το ελάττωμα προέρχεται από την ακατάλληλη εφαρμογή του πρωτοκόλλου Fast Pair.
Κρίσιμο ελάττωμα στην εφαρμογή του γρήγορου ζεύγους
Σύμφωνα με την προδιαγραφή Fast Pair, τα αξεσουάρ Bluetooth θα πρέπει να αγνοούν τα αιτήματα σύζευξης όταν δεν βρίσκονται σε λειτουργία σύζευξης.
Ωστόσο, πολλές εμβληματικές συσκευές αποτυγχάνουν να επιβάλουν αυτόν τον κρίσιμο έλεγχο ασφαλείας, επιτρέποντας σε μη εξουσιοδοτημένες συσκευές να ξεκινήσουν τη διαδικασία σύζευξης χωρίς αλληλεπίδραση με τον χρήστη.
Οι εισβολείς μπορούν να εκμεταλλευτούν το WhisperPair χρησιμοποιώντας οποιαδήποτε τυπική συσκευή με δυνατότητα Bluetooth, όπως φορητό υπολογιστή, smartphone ή Raspberry Pi.
.webp.jpeg "Το WhisperPair Attack επιτρέπει την παραβίαση φορητών υπολογιστών, ακουστικών χωρίς τη συγκατάθεση του χρήστη")
Η επίθεση επιτυγχάνεται μέσα σε διάμεσο 10 δευτερολέπτων σε εμβέλεια έως και 14 μέτρα χωρίς να απαιτείται φυσική πρόσβαση στην ευάλωτη συσκευή.
Μετά τη σύζευξη, οι εισβολείς αποκτούν τον πλήρη έλεγχο του αξεσουάρ ήχου, επιτρέποντάς τους να αναπαράγουν ήχο σε υψηλή ένταση ή να ηχογραφούν συνομιλίες μέσω του ενσωματωμένου μικροφώνου.
Επιπλέον, εάν ένα αξεσουάρ δεν έχει ποτέ αντιστοιχιστεί με μια συσκευή Android, οι εισβολείς μπορούν να το προσθέσουν στον δικό τους λογαριασμό Google και να παρακολουθήσουν την τοποθεσία του θύματος χρησιμοποιώντας το δίκτυο Find Hub της Google.
Η ειδοποίηση παρακολούθησης που εμφανίζεται δείχνει τη συσκευή του ίδιου του θύματος, η οποία μπορεί να οδηγήσει τους χρήστες να απορρίψουν την προειδοποίηση ως σφάλμα συστήματος, επιτρέποντας την παρατεταμένη παρακολούθηση.
.webp.jpeg "Το WhisperPair Attack επιτρέπει την παραβίαση φορητών υπολογιστών, ακουστικών χωρίς τη συγκατάθεση του χρήστη")
Ευπάθεια μεταξύ πλατφορμών
Η ευπάθεια επηρεάζει τους χρήστες σε όλες τις πλατφόρμες, επειδή το ελάττωμα υπάρχει στα ίδια τα αξεσουάρ, όχι στα smartphone.
Οι χρήστες iPhone με ευάλωτες συσκευές Bluetooth αντιμετωπίζουν τους ίδιους κινδύνους με τους χρήστες Android. Δεδομένου ότι η λειτουργία Fast Pair δεν μπορεί να απενεργοποιηθεί στα αξεσουάρ, ακόμη και οι χρήστες εκτός του οικοσυστήματος Android παραμένουν ευάλωτοι.
Οι ερευνητές του WhisperPair αναφέρθηκε τα ευρήματά τους στην Google τον Αύγουστο του 2025, συμφωνώντας σε ένα παράθυρο αποκάλυψης 150 ημερών για τους κατασκευαστές να εκδώσουν ενημερώσεις κώδικα ασφαλείας.
Ο μόνος αποτελεσματικός μετριασμός είναι η εγκατάσταση ενημερώσεων υλικολογισμικού από κατασκευαστές συσκευών.
Ενώ πολλοί κατασκευαστές έχουν κυκλοφορήσει ενημερώσεις κώδικα, οι ενημερώσεις λογισμικού ενδέχεται να μην είναι ακόμη διαθέσιμες για όλες τις ευάλωτες συσκευές.
Οι χρήστες θα πρέπει να συμβουλευτούν το εγχειρίδιο του αξεσουάρ τους για οδηγίες ενημέρωσης υλικολογισμικού και να επαληθεύσουν τη διαθεσιμότητα της ενημέρωσης κώδικα απευθείας με τους κατασκευαστές.
Η ευπάθεια WhisperPair αντιπροσωπεύει μια συστημική αποτυχία, καθώς οι ευάλωτες συσκευές πέρασαν τόσο τη διασφάλιση ποιότητας του κατασκευαστή όσο και τη διαδικασία πιστοποίησης της Google προτού φτάσουν στην αγορά σε μεγάλη κλίμακα.
