Наушники с Google Fast Pair подвержены взлому
Уязвимость позволяет злоумышленнику получить доступ не только к воспроизведению аудио, но также и к микрофону, и к геолокации (в зависимости от устройства).
Технология Google Fast Pair упрощает процесс сопряжения наушников и колонок с устройствами на Android и Chrome OS, позволяя это сделать с помощью одного клика.
Однако, как выяснили исследователи из Бельгийского университета KU Leuven, с помощью этой же технологии злоумышленники могут получить контроль над устройством. Согласно Wired, группа исследователей обнаружила целый набор уязвимостей, который они назвали WhisperPair, в устройствах от Sony, Jabra, JBL, Marshall, Xiaomi, Nothing, OnePlus, Soundcore, Logitech, и даже от самой Google. Известно минимум о 17 моделях аудиоустройств, которые подвержены взлому.
На части устройств уязвимость позволяет «захватить контроль» и помешать воспроизведению аудио через наушники, а так же даёт возможность воспроизводить собственный звук на любой выбранной громкости. Помимо этого, устройства от Google и Sony так же имеют доступ к Google Find Hub, с помощью которого злоумышленник может отслеживать геолокацию.
С помощью WhisperPair злоумышленнику достаточно воспользоваться любым устройством с поддержкой Bluetooth, будь то ноутбук или Raspberry Pi, без необходимости физически взаимодействовать с телефоном, наушниками или чем-либо еще.
Изначально об этой уязвимости сообщили в Google еще в Августе 2025 года. Далее, чтобы обеспечить максимально возможную безопасность пользователей, эта проблема была отмечена как критическая и получила 150-дневный срок перед публичной оглаской.
В Google отметили, что выпустили исправления для своих уязвимых продуктов и Find Hub, однако исследователи нашли способ обойти патч и возможность по-прежнему отслеживать устройство с помощью Find Hub.
Xiaomi и JBL также выпустили заявления, сообщив, что работают с Google над устранением уязвимости и выпуском OTA обновлений. Jabra и Logitech заявили, что находятся в процессе выпуска патчей, а OnePlus отметила, что изучает проблему. Marshall, Nothing и Sony пока не давали комментариев по поводу уязвимости.