Luka w Google Fast Pair. Twoje słuchawki mogą posłużyć do śledzenia
Wygoda błyskawicznego parowania słuchawek z telefonem ma swoją cenę, a badacze bezpieczeństwa właśnie wystawili rachunek.
Naukowcy z belgijskiego uniwersytetu KU Leuven ujawnili istnienie luki „WhisperPair” w popularnym protokole Google Fast Pair. Podatność ta pozwala atakującym na zdalne przejęcie kontroli nad akcesoriami Bluetooth, co w konsekwencji może prowadzić do śledzenia lokalizacji użytkownika, a nawet podsłuchu.
Twój dom wreszcie zrozumie, że oglądasz film. Google Home z potężną aktualizacją automatyzacji
Błąd, który kosztuje prywatność
Sednem problemu jest błąd w implementacji procesu parowania przez wielu producentów elektroniki. Zgodnie ze specyfikacją, akcesorium powinno odrzucić próbę połączenia, jeśli użytkownik nie wprowadził go fizycznie w tryb parowania.
W praktyce jednak wiele urządzeń pomija ten kluczowy krok weryfikacji. Dzięki temu haker, znajdujący się w zasięgu Bluetooth i używający prostego sprzętu (np. laptopa czy Raspberry Pi), może wymusić połączenie z naszymi słuchawkami bez naszej wiedzy i jakiejkolwiek interakcji z naszej strony.
Nie tylko Android
Konsekwencje luki WhisperPair są poważne. Udany atak pozwala na wykorzystanie cudzego urządzenia do śledzenia ofiary (np. poprzez funkcje lokalizacyjne typu Find My), zakłócanie odtwarzania audio, a w skrajnych przypadkach – nagrywanie rozmów telefonicznych i dźwięków otoczenia.
Co istotne, zagrożenie nie ogranicza się tylko do ekosystemu Androida. Ponieważ celem ataku jest samo akcesorium, a nie telefon, na niebezpieczeństwo narażeni są również użytkownicy iPhone’ów korzystający z podatnych na atak słuchawek obsługujących Fast Pair.
Kto jest zagrożony?
Lista urządzeń dotkniętych problemem obejmuje flagowe produkty największych marek technologicznych. Raport badaczy wymienia m.in. popularne modele Sony z serii WH-1000XM (w tym najnowsze „szóstki”, a także XM5 i XM4), Nothing Ear (a), OnePlus Nord Buds 3 Pro, a nawet autorskie słuchawki Google – Pixel Buds Pro 2.
Badacze podkreślają, że choć nie każde urządzenie z Fast Pair jest podatne na atak, to w przypadku wymienionych modeli ryzyko przejęcia kontroli jest realne.
Jedyny ratunek: aktualizacja
Niestety, użytkownicy nie mają możliwości samodzielnego wyłączenia funkcjonalności Fast Pair w swoich gadżetach. Jedyną skuteczną linią obrony jest aktualizacja oprogramowania układowego (firmware) poszczególnych akcesoriów.
Google oraz producenci sprzętu zostali poinformowani o luce jeszcze w sierpniu 2025 roku, co oznacza, że odpowiednie łatki bezpieczeństwa powinny być już dostępne lub pojawią się w najbliższym czasie. Warto więc niezwłocznie sprawdzić dostępność update’ów w dedykowanych aplikacjach do obsługi słuchawek.
Koniec bałaganu w płatnościach. Portfel Google wreszcie z pełną historią (także z zegarka!)
