Исследователи из KU Leuven опубликовали разбор критической уязвимости в протоколе Google Fast Pair. Проблема получила номер CVE-2025-36911 и имя WhisperPair. Под удар попали сотни миллионов беспроводных наушников и колонок от Google, Jabra, JBL, Logitech, Marshall, Nothing, OnePlus, Sony, Soundcore и Xiaomi. Важный момент: уязвимость находится не в телефоне, а в самих аксессуарах. Поэтому рискуют и владельцы Android, и пользователи iPhone, если у них подключены уязвимые Bluetooth-устройства.
Из 25 проверенных моделей 17 оказались уязвимыми. Google присвоил инциденту высшую категорию критичности и выплатил исследователям 15 000 долларов, максимальное вознаграждение по своей программе.
Что сломалось в Fast Pair
Fast Pair задуман как протокол для быстрого сопряжения: один тап, и устройство подключено, привязано к аккаунту Google и добавлено в Find Hub для поиска потерянных аксессуаров. По спецификации все должно начинаться только тогда, когда аксессуар действительно находится в режиме сопряжения. В документации это сформулировано прямо: Если аксессуар не находится в режиме сопряжения, он должен игнорировать такие сообщения.
На практике ряд производителей пропустил этот шаг. Аксессуар отвечает на запрос Fast Pair даже тогда, когда режим сопряжения не включен. В результате злоумышленник может завершить процедуру Fast Pair и установить обычное Bluetooth-сопряжение без участия владельца. То есть наушники могут быть уже подключены к вашему телефону, но второй человек рядом способен инициировать подключение к себе.
Как выглядит атака и почему она неприятна
KU Leuven показали, что атака возможна с обычного Bluetooth-устройства, ноутбука, Raspberry Pi 4 или телефона. Рабочая дальность до 14 метров, а медианное время атаки 10-15 секунд. Физический доступ не нужен, взаимодействие с жертвой не требуется. Один из исследователей, Нильс Друтепта, описал это так:
Вы идёте по улице в наушниках, слушаете музыку. Менее чем за 15 секунд мы перехватываем ваше устройство. Дальше я могу включить микрофон и слушать всё, что происходит вокруг вас, подменять звук или отслеживать, где вы находитесь.
После успешного подключения атакующий получает контроль над аксессуаром. Варианты злоупотребления зависят от модели, но в целом это подслушивание через микрофон, навязчивое воспроизведение звука на максимальной громкости и подмена аудио. Отдельный риск связан с Find Hub. Если аксессуар ни разу не был подключен к Android-устройству, злоумышленник может привязать его к своему аккаунту и начать отслеживание местоположения через сеть поиска. Уведомление о нежелательном трекинге может появиться только через часы или дни, и оно часто выглядит так, будто проблема в собственном устройстве жертвы, из-за чего многие просто игнорируют сообщение.
Единственная реальная защита здесь это обновление прошивки на самом аксессуаре. Google работал с производителями около 150 дней, чтобы подготовить исправления, но на момент публикации обновления есть не для всех моделей. По данным Wired, Logitech готовит исправление для будущих партий, OnePlus заявила, что расследует проблему, Marshall, Nothing и Sony не ответили на запрос редакции. Отключение Fast Pair на телефоне не решает проблему, потому что уязвимость сидит в устройстве, а не в настройках Android.
WhisperPair выглядит как типичный пример того, как удобство выигрывает у безопасности. Спецификация требовала проверку режима сопряжения, производители ее не реализовали, а инструмент Google для тестирования устройств проверял в основном функциональность, а не угрозы. Результат неприятный: уязвимые наушники и колонки можно перехватить за считанные секунды с расстояния до 14 метров. И пока не вышло обновление прошивки, риск остается на стороне пользователя.
