Czy twoje słuchawki też mają „słuch”? Jeśli wspierają szybkie parowanie od Google, jest szansa, że ktoś obcy może je przejąć szybciej, niż zdążysz powiedzieć „Bluetooth”.
Badacze z KU Leuven znaleźli krytyczną lukę w protokole Fast Pair (CVE-2025-36911, kryptonim: WhisperPair), która pozwala przejąć kontrolę nad słuchawkami, wpiąć się w mikrofon i – w niektórych przypadkach – śledzić lokalizację właściciela. Problem dotyka setek milionów akcesoriów audio różnych marek. Wbrew pozorom nie chodzi o Androida – podatne są same akcesoria, więc użytkownicy iPhone’ów też są w grze.
To ważne, bo Bluetooth audio jest wszechobecne i zwykle niewidoczne. Fast Pair miał być proste: jedno stuknięcie i gramy. Kiedy jednak wygoda wygrywa z dyscypliną implementacji, robi się miejsce dla cudzej ciekawości i stalkingu. A do tego dochodzi stały problem IoT: aktualizacje firmware, o których 90% użytkowników w ogóle nie pamięta.
WhisperPair, czyli drzwi na klamkę, nie na zamek
Sedno problemu jest trywialne i przez to niebezpieczne. Specyfikacja Fast Pair wymaga, by akcesorium ignorowało próby parowania, jeśli nie jest w trybie parowania. Wielu producentów tego nie egzekwuje. Efekt? Każde urządzenie z Bluetooth (laptop, telefon, Raspberry Pi – cokolwiek) może zainicjować sekwencję Fast Pair, dostać odpowiedź, a potem dokończyć zwykłe parowanie – bez twojej wiedzy, w kilkanaście sekund i z odległości nawet do 14 metrów. [1]
„W mniej niż 15 sekund możemy przejąć twoje urządzenie” – mówi Sayon Duttagupta z KU Leuven. „Atakujący teraz ‘posiada’ to urządzenie i może zrobić z nim, co chce” – dorzuca Nikola Antonijević. W praktyce oznacza to możliwość podsłuchiwania otoczenia przez mikrofon słuchawek, wstrzykiwania własnego audio (tak, również na pełnej głośności) czy zakłócania rozmów.
Kto jest na liście?
Badacze sprawdzili 17 akcesoriów 10 firm: od Sony, Jabra, JBL i Marshalla, przez Xiaomi, Nothing, OnePlus i Soundcore, po Logitecha i samego Google’a. Skala? „Setki milionów” kompatybilnych urządzeń. I tak, jeśli używasz iPhone’a, ale nosisz słuchawki z Fast Pair – nadal jesteś narażony, bo luka siedzi w słuchawkach, nie w telefonie. [2]
Śledzenie w pakiecie wygody
Najgroźniejszy wariant dotyczy sprzętów kompatybilnych z siecią lokalizacyjną Google (Find My Device). Jeśli twoje akcesorium nigdy nie było parowane z Androidem, atakujący może je przypisać do własnego konta i użyć sieci do śledzenia. Powiadomienie o „niechcianym śledzeniu” może przyjść dopiero po godzinach lub dniach – i, co gorsza, pokazać… twoje własne urządzenie, przez co łatwo je zignorować jako glitch.
Google reaguje, ale…
Google przyznało rację badaczom, przyznało maksymalną nagrodę bug bounty (15 tys. dolarów) i w ramach 150-dniowego okna poinformowało producentów, pomagając im przygotować poprawki. Firma mówi, że nie widzi dowodów na wykorzystanie luki poza laboratorium, a dla własnych akcesoriów wypchnęła już aktualizacje, podobnie jak łatkę w aplikacji Find My Device na Androidzie, która ma blokować scenariusze śledzenia.
Problem? Aktualizacje dla całej reszty dopiero spływają, a większość ludzi nigdy nie instalowała aplikacji producenta słuchawek, żeby sprawdzić, czy jest nowy firmware. Jak trafnie ujął to jeden z badaczy: „Jeśli nie masz appki Sony, nigdy nie dowiesz się, że jest aktualizacja do twoich słuchawek”. A bez tej aktualizacji pozostajesz z otwartą furtką.
Szerzej: wygoda kontra bezpieczeństwo
To nie pierwszy raz, gdy ekosystem „jedno kliknięcie i gotowe” potyka się o bezpieczeństwo. Protokół teoretycznie jest poprawny, ale diabeł siedzi w implementacji: drobny, „tymczasowy” skrót w logice trybu parowania i mamy silent pairing. Dodaj do tego brak obowiązkowych testów zgodności po stronie platformy i długi ogon akcesoriów z własnym, rzadko aktualizowanym firmware – i przepis na kłopoty gotowy.
Co możesz zrobić teraz
Brutalnie szczerze: jedyną skuteczną obroną jest aktualizacja firmware akcesorium. Wyłączenie Fast Pair w Androidzie nie pomoże, bo funkcja żyje w słuchawkach. Zainstaluj aplikację producenta (Sony Headphones, Jabra Sound+, JBL itp.), sprawdź dostępność aktualizacji i ją wgraj. Do czasu łatki ogranicz używanie mikrofonu w miejscach publicznych i wyłączaj akcesoria, kiedy ich nie potrzebujesz. Jeśli rozmawiasz o wrażliwych rzeczach – rozważ przewód albo zaufany, zaktualizowany zestaw.
Na marginesie: to również sygnał dla branży. Certyfikacja Fast Pair powinna twardo egzekwować blokadę parowania poza trybem parowania; przydałyby się też sprzętowe przełączniki mikrofonu i lepsza telemetria niechcianych połączeń. I przede wszystkim – aktualizacje, które znajdują użytkownika, a nie użytkownik aktualizacje.
Na koniec
Magia „połączono w sekundę” ma swoją cenę. WhisperPair przypomina, że w świecie bezprzewodowym zaufanie to funkcja wdrożenia, nie broszury marketingowej. Pytanie do ciebie jest proste: czy twoje słuchawki już dostały poprawkę – czy nadal „ufają” każdemu, kto zapuka?
FAQ
Czy użytkownicy iPhone’ów są zagrożeni podatnością WhisperPair?
Tak. Luka dotyczy firmware’u akcesoriów audio z Fast Pair, a nie systemu telefonu. iPhone jako taki nie blokuje ani nie wywołuje tego ataku.
Jak sprawdzić, czy moje słuchawki są podatne na WhisperPair?
Nie ma jednej publicznej listy, ale podatne są liczne modele wspierające Fast Pair. Najszybciej: zainstaluj aplikację producenta i sprawdź dostępność aktualizacji bezpieczeństwa.
Czy wyłączenie Fast Pair na Androidzie chroni przed atakiem WhisperPair?
Nie. Wyłączenie Fast Pair w telefonie nie dezaktywuje funkcji w samym akcesorium, więc atak nadal jest możliwy.
Jak daleko od ofiary musi być atakujący, aby przejąć akcesorium?
Do około 14 metrów (ok. 50 stóp) w testach badaczy. Przeszkody i zakłócenia mogą ten zasięg zmniejszyć, ale to wciąż typowy dystans w biurze czy kawiarni.
Kiedy pojawią się aktualizacje firmware naprawiające WhisperPair?
Część jest już dostępna, kolejne są w drodze – terminy zależą od producenta. Sprawdzaj aplikację producenta i strony wsparcia dla swojego modelu.
Źródła
To nie jest ozdobnik. To ślad po procesie: ile informacji było szumem, ile stało się wiedzą i jak wyglądał research, zanim powstał ten tekst.
1. Zbieranie sygnałów (discovery)
- RSS - źródeł w configu
- 63
- RSS - stan źródeł
- 63 / 63 OK
- RSS - przepływ (od surowych do unikalnych)
- 2432 -> 2374 -> 377 -> 319
- RSS - usunięte duplikaty tytułów
- 1
- Pula tematów (z RSS)
- 319
- Wybrane do analizy
- 217
- Odrzucone
- 102
- Duplikaty (archiwum tematów)
- 1
- Klastry (wątki)
- 119
2. Selekcja i filtrowanie
- Odrzucono po tytule
- 36
- Odrzucono semantycznie (embedding)
- 0
3. Wyszukiwanie i wzbogacanie
- Zapytania wyszukiwawcze
- 9
- Unikalne wyniki
- 44
- Kandydaci
- 0
- Dodane z wyszukiwania (cache+live)
- 0
- Przeskanowano URL-i (research)
- 2
4. Finalny kontekst
- Źródła użyte w tekście
- 2
- Źródła (domeny)
- 2
- Wikipedia - kontekst
- tak
- Expansion - kontekst
- nie
- Wyłuskane liczby
- 1
