Технология Fast Pair от Google произвела революцию в подключении по Bluetooth, обеспечив миллионам пользователей мгновенную однократную сопряжение поддерживаемых аксессуаров и синхронизацию между учетными записями. Однако обнаруженная критическая уязвимость в аудиоустройствах ведущих брендов ставит под угрозу безопасность сотен миллионов гаджетов.
Детали уязвимости
Исследователи раскрыли WhisperPair - семейство практических атак, использующих недостатки реализации Fast Pair для несанкционированного захвата беспроводных наушников, гарнитур и колонок. Эта уязвимость, получившая идентификатор CVE-2025-36911, имеет высший уровень опасности с оценкой 9,8 по шкале CVSS v3.1. Атакующие могут насильственно сопрячь уязвимые аксессуары с контролируемыми ими устройствами всего за 10 секунд, причем эффективная дальность атаки превышает 14 метров.
Для успешной эксплуатации уязвимости не требуется физического доступа к целевому устройству. Атака работает скрытно, не привлекая внимания пользователя. После компрометации злоумышленники получают полный контроль над аксессуаром. В частности, они могут воспроизводить звук на опасной громкости, записывать разговоры с помощью встроенных микрофонов или вести наблюдение.
Проблема коренится в критическом нарушении реализации спецификации Fast Pair. Согласно проекту протокола, аксессуары должны игнорировать запросы на сопряжение, когда не находятся в соответствующем режиме. Тем не менее, многие производители не обеспечили эту базовую проверку безопасности. Это позволяет неавторизованным устройствам инициировать процесс сопряжения. Злоумышленники используют это упущение, отправляя начальные сообщения Fast Pair на уязвимые устройства, получая ответы и завершая стандартные процедуры сопряжения Bluetooth без вмешательства законного владельца.
Атака выходит за рамки простого захвата устройства. Некоторые аксессуары поддерживают сеть Google Find Hub - краудсорсинговую систему отслеживания местоположения, предназначенную для поиска потерянных устройств. Исследователи обнаружили, что атакующие могут регистрировать скомпрометированные аксессуары с помощью вредоносных учетных записей Google. Фактически это добавляет функцию отслеживания к устройствам, которые никогда не сопрягались со смартфонами Android.
Жертвы получают уведомления с задержкой, иногда через несколько часов или дней, которые отображаются на их собственных устройствах. Скорее всего, пользователи сочтут эти предупреждения сбоем программного обеспечения, в то время как отслеживание будет продолжаться неограниченно долго. Этот механизм работает, потому что устройства Android записывают ключи учетной записи в аксессуары только после завершения сопряжения. Первый записанный ключ становится ключом учетной записи владельца, устанавливая право собственности на устройство. Если жертва никогда не подключала аксессуар к устройствам Android, то атакующий, записав свой ключ, становится отмеченным владельцем и получает постоянный доступ для отслеживания.
Масштаб уязвимости WhisperPair свидетельствует о системном сбое на нескольких уровнях. Исследователи задокументировали множество устройств, вендоров и чипсетов, затронутых одинаковыми ошибками реализации. Что критично, уязвимые устройства прошли как внутреннее тестирование качества производителей, так и официальный процесс сертификации Google. Это указывает на системные проблемы с соответствием требованиям, а не на единичные ошибки разработчиков. Цепочка неудач в реализации, валидации и сертификации демонстрирует существенные пробелы в управлении безопасностью.
Google классифицировал уязвимость как критическую. Исследователи получили максимальное вознаграждение в размере 15 000 долларов после ответственного 150-дневного периода раскрытия информации, начавшегося в августе 2025 года. Этот период позволил производителям разработать патчи.
Единственным постоянным решением являются обновления программного обеспечения от производителей аксессуаров. Хотя многие вендоры уже выпустили исправления для затронутых устройств, не все пользователи имеют доступ к доступным обновлениям. Специалистам по безопасности и потребителям следует проверять наличие патчей непосредственно у производителей. До развертывания обновлений пользователям рекомендуется отключать Bluetooth, когда аксессуары не используются, и отслеживать уведомления о несанкционированном сопряжении.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2025-36911
- https://source.android.com/security/bulletin/pixel/2026-01-01
- https://whisperpair.eu/#bluetooth-hijacking
