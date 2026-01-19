Исследователи из команды Computer Security and Industrial Cryptography в Левенском католическом университете нашли критический баг в протоколе Google Fast Pair. Уязвимость позволяет перехватывать управление миллионами Bluetooth-девайсов, отслеживать местоположение пользователей и подслушивать разговоры.

Проблема получила идентификатор CVE-2025-36911 и имя WhisperPair. Она затрагивает сотни миллионов беспроводных наушников и колонок от разных производителей, которые поддерживают Fast Pair. Уязвимости подвержены сами аксессуары, а не смартфоны, а значит, перед этой угрозой уязвимы не только владельцы устройств на базе Android, но и владельцы iPhone.

Корень проблемы кроется в некорректной имплементации протокола Fast Pair во многих устройствах. Спецификация Google требует, чтобы Bluetooth-девайсы игнорировали запросы на сопряжение, когда не находятся в режиме подключения. Однако многие производители не внедрили этот механизм в свои продукты, что позволяет сторонним устройствам инициировать сопряжение без согласия и ведома владельца гаджета.

«Чтобы запустить процедуру Fast Pair, Seeker (телефон) отправляет сообщение Provider (аксессуару), что хочет выполнить сопряжение. По спецификации, если устройство не находится в режиме pairing, оно должно игнорировать такие запросы, — поясняют исследователи. — Однако на практике многие устройства не обеспечивают такую проверку, позволяя неавторизованным устройствам начать процесс сопряжения. Получив ответ от уязвимого гаджета, атакующий завершает процедуру Fast Pair обычным Bluetooth-сопряжением».

Эксплуатировать атаку WhisperPair можно с любого устройства с Bluetooth — ноутбука, Raspberry Pi или даже смартфона. Атакующий принудительно выполняет сопряжение с уязвимыми аксессуарами Google, Jabra, JBL, Logitech, Marshall, Nothing, OnePlus, Sony, Soundcore и Xiaomi на расстоянии до 14 метров. Никаких действий от пользователя или физического доступа не требуется.

После сопряжения злоумышленник получает полный контроль над аудиоустройством и может включить его на максимальную громкость или использовать микрофон для прослушки. Кроме того, CVE-2025-36911 позволяет отслеживать местоположение жертвы через сеть Find Hub — если аксессуар ни разу не подключали к Android-устройству, его можно добавить в аккаунт атакующего.

«Жертва может получить уведомление о нежелательном отслеживании через несколько часов или дней, но в нем будет показано ее собственное устройство, — пишут специалисты. — Пользователи могут принять это за ошибку и проигнорировать, что даст атакующему возможность продолжать слежку в течение длительного периода времени».

Компания Google выплатила исследователям максимальное вознаграждение за обнаружение этой уязвимости — 15 000 долларов США. Совместно с производителями устройств Google подготовила патчи, однако исправления пока доступны не для всех уязвимых устройств.

Единственная защита от атак на устройства с Fast Pair — установка обновленных прошивок от производителей. Отключение Fast Pair на Android-смартфонах тоже не поможет, ведь в самих аксессуарах эту функцию выключить нельзя.