Дослідники з групи Computer Security and Industrial Cryptography (COSIC) Левенського католицького університету повідомили про критичну уразливість протоколу Google Fast Pair, що отримала ідентифікатор CVE-2025-36911 і назву WhisperPair. Помилка в реалізації відкриває шлях до перехоплення контролю над мільйонами бездротових навушників і колонок, непомітного увімкнення мікрофона та відстеження місцезнаходження власників.
Що таке Google Fast Pair і чому уразливість WhisperPair настільки критична
Google Fast Pair — це протокол швидкого сполучення, який дозволяє смартфону автоматично знаходити сумісні Bluetooth-аксесуари поблизу та підключати їх «в один дотик». Завдяки простоті й зручності Fast Pair інтегрований у сотні мільйонів навушників, колонок і гарнітур різних брендів, тож будь-яка критична уразливість Fast Pair одразу набуває глобального масштабу.
WhisperPair вражає саме аксесуари, а не смартфони. Це означає, що під загрозою перебувають не тільки користувачі Android: уразливі гарнітури, які підтримують Fast Pair, становлять ризик і для власників iPhone, ноутбуків та інших пристроїв, що підключаються до цих навушників звичайним Bluetooth.
CVE-2025-36911: як працює атака WhisperPair на Google Fast Pair
Помилка реалізації режиму сполучення Fast Pair
Згідно зі специфікацією Fast Pair, аксесуар повинен ігнорувати запити сполучення, якщо користувач не перевів його в режим pairing (наприклад, не натиснув кнопку на кейсі навушників). Лише в цьому режимі пристрій явно сигналізує готовність прийняти нового хоста.
Аналіз дослідників показав, що низка виробників цю вимогу фактично проігнорувала. У багатьох моделях навушників і колонок перевірка режиму сполучення відсутня або реалізована з помилками. У результаті аксесуар відповідає на запит Fast Pair навіть тоді, коли користувач не ініціював підключення.
Сценарій виглядає так: телефон чи інший пристрій нападника (Seeker) надсилає гаджету-жертві (Provider) повідомлення про бажання виконати сполучення через Google Fast Pair. Згідно з протоколом, «неготовий» аксесуар мав би проігнорувати запит. Але вразливі моделі відповідають і продовжують процедуру, дозволяючи атакувальнику завершити її вже як стандартне Bluetooth-сполучення — без будь-якої дії з боку власника.
Реалістичний сценарій атаки на Bluetooth-гарнітури
Для експлуатації уразливості WhisperPair (CVE-2025-36911) не потрібне спеціалізоване обладнання: достатньо ноутбука, смартфона, одноплатного комп’ютера на кшталт Raspberry Pi чи будь-якого іншого пристрою з Bluetooth. У радіусі орієнтовно до 14 метрів зловмисник може примусово сполучити свою техніку з уразливими аксесуарами.
Під ризиком опинилися пристрої таких брендів, як Google, Jabra, JBL, Logitech, Marshall, Nothing, OnePlus, Sony, Soundcore, Xiaomi та інших виробників, які інтегрували підтримку Google Fast Pair. Фізичний доступ до гарнітури не потрібен — достатньо, щоб вона була ввімкнена й перебувала в зоні дії Bluetooth.
Наслідки WhisperPair: приховане прослуховування та відстеження місцезнаходження
Після прихованого сполучення через уразливість Bluetooth-аксесуарів нападник фактично отримує контроль над аудіопристроєм. Він може підключатися до гарнітури, змінювати гучність (зокрема, різко вмикати її на максимум, відволікаючи чи дратуючи жертву), а головне — активувати мікрофон для непомітного прослуховування розмов.
Це створює підвищені ризики в офісах, переговорних кімнатах, коворкінгах, а також для журналістів, юристів, топменеджменту та всіх, хто регулярно обговорює конфіденційну інформацію через Bluetooth-гарнітури в публічних просторах.
Додатковий вектор загрози пов’язаний зі стеженням за місцезнаходженням. Дослідники показали, що якщо аксесуар з Fast Pair жодного разу не підключався до Android-пристрою власника, зловмисник може додати його до свого облікового запису в мережі пошуку пристроїв (Find My Device / Find Network) і використовувати як трекер. Сповіщення про небажане стеження жертва отримає із затримкою в години або навіть дні, причому в ній може згадуватися начебто її власний пристрій, що легко сприйняти як збій системи.
Масштаб CVE-2025-36911 і реакція Google та виробників
За оцінками дослідників COSIC, проблема охоплює сотні мільйонів Bluetooth-навушників і колонок у всьому світі. Масштаб уразливості порівнюють з найбільшими кампаніями атак на популярні Bluetooth-протоколи останніх років і розглядають як показовий приклад наслідків ігнорування вимог специфікації під час реалізації протоколів.
Google визнала уразливість Google Fast Pair, присвоїла їй CVE-2025-36911 та виплатила команді дослідників максимальну винагороду в межах програми bug bounty — 15 000 доларів США. Компанія спільно з виробниками підготувала оновлення прошивок, проте на момент публікації патчі доступні не для всіх моделей. Частина старих або бюджетних пристроїв традиційно ризикує залишитися без виправлень.
Як захиститися від WhisperPair і зменшити ризики для Bluetooth-аксесуарів
Нині єдиним повноцінним захистом від WhisperPair є встановлення актуальних прошивок від виробника аксесуару. Рекомендується регулярно перевіряти оновлення у фірмових застосунках (JBL, Sony, Jabra тощо) або в системних налаштуваннях, якщо пристрій підтримує оновлення «по повітрю» (OTA).
Важливо: просте вимкнення Google Fast Pair на Android-смартфоні не усуває уразливість, оскільки помилка міститься у прошивці самих навушників чи колонок. Навіть якщо функцію Fast Pair вимкнено на телефоні, уразливий аксесуар усе одно може бути примусово сполучений зловмисником.
Як додаткові заходи безпеки варто: не залишати Bluetooth-гарнітури без нагляду в публічних місцях, звертати увагу на несподівані підключення чи різкі зміни гучності, періодично переглядати список спарених пристроїв і видаляти невідомі. Організаціям слід включити Bluetooth-аксесуари до загальної моделі загроз, вести їх інвентаризацію, регламентувати оновлення прошивок і закуповувати пристрої з прозорою та довгостроковою політикою безпеки.
WhisperPair (CVE-2025-36911) наочно демонструє, що навіть «другорядні» гаджети на кшталт навушників можуть стати слабкою ланкою корпоративної та особистої кібербезпеки. Регулярні оновлення прошивок, уважне ставлення до сповіщень про стеження й усвідомлений вибір аксесуарів із гарантованою підтримкою безпеки — прості кроки, які суттєво знижують ризики прослуховування та відстеження як для окремих користувачів, так і для організацій.
