#googlefastpair — Public Fediverse posts

Ars Technica: Many Bluetooth devices with Google Fast Pair vulnerable to “WhisperPair” hack. “A team of security researchers from Belgium’s KU Leuven University has revealed a vulnerability dubbed WhisperPair that allows an attacker to hijack Fast Pair-enabled devices to spy on the owner.”

Ars Technica: Many Bluetooth devices with Google Fast Pair vulnerable to “WhisperPair” hack. “A team of security researchers from Belgium’s KU Leuven University has revealed a vulnerability dubbed WhisperPair that allows an attacker to hijack Fast Pair-enabled devices to spy on the owner.”

Ars Technica: Many Bluetooth devices with Google Fast Pair vulnerable to “WhisperPair” hack. “A team of security researchers from Belgium’s KU Leuven University has revealed a vulnerability dubbed WhisperPair that allows an attacker to hijack Fast Pair-enabled devices to spy on the owner.”

Ars Technica: Many Bluetooth devices with Google Fast Pair vulnerable to “WhisperPair” hack. “A team of security researchers from Belgium’s KU Leuven University has revealed a vulnerability dubbed WhisperPair that allows an attacker to hijack Fast Pair-enabled devices to spy on the owner.”

Luka w Google Fast Pair. Twoje słuchawki mogą posłużyć do śledzenia

Wygoda błyskawicznego parowania słuchawek z telefonem ma swoją cenę, a badacze bezpieczeństwa właśnie wystawili rachunek.

Naukowcy z belgijskiego uniwersytetu KU Leuven ujawnili istnienie luki „WhisperPair” w popularnym protokole Google Fast Pair. Podatność ta pozwala atakującym na zdalne przejęcie kontroli nad akcesoriami Bluetooth, co w konsekwencji może prowadzić do śledzenia lokalizacji użytkownika, a nawet podsłuchu.

Twój dom wreszcie zrozumie, że oglądasz film. Google Home z potężną aktualizacją automatyzacji

Błąd, który kosztuje prywatność

Sednem problemu jest błąd w implementacji procesu parowania przez wielu producentów elektroniki. Zgodnie ze specyfikacją, akcesorium powinno odrzucić próbę połączenia, jeśli użytkownik nie wprowadził go fizycznie w tryb parowania.

W praktyce jednak wiele urządzeń pomija ten kluczowy krok weryfikacji. Dzięki temu haker, znajdujący się w zasięgu Bluetooth i używający prostego sprzętu (np. laptopa czy Raspberry Pi), może wymusić połączenie z naszymi słuchawkami bez naszej wiedzy i jakiejkolwiek interakcji z naszej strony.

Nie tylko Android

Konsekwencje luki WhisperPair są poważne. Udany atak pozwala na wykorzystanie cudzego urządzenia do śledzenia ofiary (np. poprzez funkcje lokalizacyjne typu Find My), zakłócanie odtwarzania audio, a w skrajnych przypadkach – nagrywanie rozmów telefonicznych i dźwięków otoczenia.

Co istotne, zagrożenie nie ogranicza się tylko do ekosystemu Androida. Ponieważ celem ataku jest samo akcesorium, a nie telefon, na niebezpieczeństwo narażeni są również użytkownicy iPhone’ów korzystający z podatnych na atak słuchawek obsługujących Fast Pair.

Kto jest zagrożony?

Lista urządzeń dotkniętych problemem obejmuje flagowe produkty największych marek technologicznych. Raport badaczy wymienia m.in. popularne modele Sony z serii WH-1000XM (w tym najnowsze „szóstki”, a także XM5 i XM4), Nothing Ear (a), OnePlus Nord Buds 3 Pro, a nawet autorskie słuchawki Google – Pixel Buds Pro 2.

Badacze podkreślają, że choć nie każde urządzenie z Fast Pair jest podatne na atak, to w przypadku wymienionych modeli ryzyko przejęcia kontroli jest realne.

Jedyny ratunek: aktualizacja

Niestety, użytkownicy nie mają możliwości samodzielnego wyłączenia funkcjonalności Fast Pair w swoich gadżetach. Jedyną skuteczną linią obrony jest aktualizacja oprogramowania układowego (firmware) poszczególnych akcesoriów.

Google oraz producenci sprzętu zostali poinformowani o luce jeszcze w sierpniu 2025 roku, co oznacza, że odpowiednie łatki bezpieczeństwa powinny być już dostępne lub pojawią się w najbliższym czasie. Warto więc niezwłocznie sprawdzić dostępność update’ów w dedykowanych aplikacjach do obsługi słuchawek.

Koniec bałaganu w płatnościach. Portfel Google wreszcie z pełną historią (także z zegarka!)