Исследователи из команды Computer Security and Industrial Cryptography (COSIC) Левенского католического университета выявили критическую уязвимость Google Fast Pair, получившую идентификатор CVE-2025-36911 и название WhisperPair. Ошибка в реализации протокола открывает злоумышленникам возможность перехватывать управление миллионами Bluetooth-наушников и колонок, отслеживать перемещение владельцев и незаметно включать микрофон для подслушивания.
Что такое Google Fast Pair и почему эта уязвимость опасна
Google Fast Pair — это протокол быстрого сопряжения, который автоматически обнаруживает совместимые аксессуары поблизости и позволяет подключать их к смартфону одним касанием. Благодаря удобству и простоте Fast Pair поддерживается сотнями миллионов беспроводных наушников и колонок разных производителей, что делает любую критическую уязвимость в Fast Pair проблемой глобального масштаба.
WhisperPair затрагивает именно аксессуары, а не смартфоны. Это означает, что под угрозой оказываются не только пользователи Android, но и владельцы iPhone и других устройств, которые используют уязвимые Bluetooth-гарнитуры, поддерживающие Fast Pair.
WhisperPair (CVE-2025-36911): как работает атака на Fast Pair
Ошибка в реализации протокола Fast Pair
Спецификация Google Fast Pair предписывает, что аксессуар должен игнорировать запросы на сопряжение, если он не переведен в режим pairing пользователем (например, путем нажатия кнопки на кейсе наушников). В таком режиме устройство явно сигнализирует, что готово к подключению нового хоста.
Однако в ходе анализа выяснилось, что многие производители проигнорировали это требование. В ряде моделей наушников и колонок проверка режима сопряжения либо отсутствует, либо реализована некорректно. В результате аксессуар отвечает на запрос Fast Pair даже тогда, когда пользователь не инициировал подключение.
Исследователи описывают процесс так: телефон (Seeker) отправляет аксессуару (Provider) сообщение о желании выполнить сопряжение через Fast Pair. По спецификации неподготовленное устройство должно просто игнорировать такой запрос. Но уязвимые гаджеты отвечают, позволяя злоумышленнику продолжить процедуру и завершить ее уже стандартным Bluetooth-сопряжением — без какого-либо участия владельца.
Практический сценарий атаки WhisperPair
Эксплуатация уязвимости WhisperPair не требует специализированного оборудования: атакующий может использовать ноутбук, смартфон, одноплатный компьютер вроде Raspberry Pi или любое другое устройство с Bluetooth. В радиусе до примерно 14 метров злоумышленник может принудительно спарить свой девайс с уязвимыми аксессуарами.
Под удар попадают беспроводные устройства таких брендов, как Google, Jabra, JBL, Logitech, Marshall, Nothing, OnePlus, Sony, Soundcore, Xiaomi и других производителей, использующих Fast Pair. Вмешательство пользователя не требуется, физический доступ к гарнитуре не нужен — достаточно, чтобы она находилась в зоне действия Bluetooth.
От прослушки до слежки: последствия эксплуатации WhisperPair
После успешного скрытого сопряжения атакующий получает практически полный контроль над аудиоустройством. Он может принудительно подключиться к гарнитуре, менять уровень громкости (например, включить звук на максимум, создавая дискомфорт или отвлекая жертву), а также использовать микрофон устройства для тихой прослушки.
Особую опасность это представляет в офисах, переговорных комнатах, коворкингах и других местах, где через Bluetooth-гарнитуры часто обсуждаются конфиденциальные деловые и персональные данные. Аналогичные риски актуальны для журналистов, юристов и тех, кто регулярно ведет закрытые разговоры в общественных пространствах.
Дополнительный вектор риска связан с возможностью слежки за местоположением через сеть Find Hub. Исследователи показали, что если аксессуар с Fast Pair ни разу не подключали к Android-устройству, злоумышленник может добавить его в свой аккаунт и использовать как трекер. Жертва потенциально получит уведомление о нежелательном отслеживании лишь спустя несколько часов или дней, причем в уведомлении будет фигурировать ее собственное устройство, что легко принять за сбой или ложное срабатывание.
Кого затрагивает CVE-2025-36911 и как отреагировала индустрия
По оценкам исследователей, проблема затрагивает сотни миллионов Bluetooth-наушников и колонок по всему миру. Масштаб уязвимости сопоставим с крупными кампаниями атак на другие популярные Bluetooth-протоколы, известными по прошлым годам, и наглядно демонстрирует, насколько опасно игнорировать требования спецификаций при реализации протоколов.
Google признала уязвимость, присвоила ей идентификатор CVE-2025-36911 и выплатила исследователям максимальное вознаграждение в рамках программы bug bounty — 15 000 долларов США. Совместно с производителями Google подготовила обновления прошивок, однако патчи доступны пока не для всех моделей. Часть устройств, особенно устаревших или бюджетных, традиционно рискует так и остаться без исправлений.
Как защититься от WhisperPair и повысить безопасность Bluetooth-аксессуаров
На данный момент единственной полноценной защитой от атак на устройства с Fast Pair является установка обновленных прошивок от производителей. Рекомендуется регулярно проверять наличие обновлений в фирменных приложениях (JBL, Sony, Jabra и др.) или в настройках системы, если аксессуар поддерживает обновление «по воздуху».
Важно понимать, что отключение Fast Pair на Android-смартфоне не устраняет уязвимость, так как проблема кроется в прошивке самих аксессуаров. Даже при выключенной функции на телефоне уязвимое устройство по-прежнему может быть принудительно спарено атакующим.
В качестве дополнительных мер разумно: по возможности не оставлять Bluetooth-гарнитуры без присмотра в общественных местах, обращать внимание на неожиданные подключения и скачки громкости, периодически проверять список спаренных устройств и удалять неизвестные. Организациям стоит учитывать Bluetooth-аксессуары в общей модели угроз, включать их в инвентаризацию и регламенты обновления, а также закупать устройства с прозрачной политикой поддержки безопасности.
WhisperPair (CVE-2025-36911) еще раз показывает, что даже «вспомогательные» аксессуары могут стать слабым звеном цифровой безопасности. Регулярное обновление прошивок, внимательное отношение к уведомлениям об отслеживании и осознанный выбор устройств с долгосрочной поддержкой безопасности помогают существенно снизить риски — как для частных пользователей, так и для компаний, полагающихся на беспроводные технологии в повседневной работе.
