Το κρίσιμο ελάττωμα WhisperPair επιτρέπει στους χάκερ να παρακολουθούν, να κρυφακούουν μέσω συσκευών ήχου Bluetooth

Ερευνητές ασφαλείας ανακάλυψαν μια κρίσιμη ευπάθεια στο πρωτόκολλο Fast Pair της Google που μπορεί να επιτρέψει στους εισβολείς να κλέβουν αξεσουάρ ήχου Bluetooth, να παρακολουθούν τους χρήστες και να παρακολουθούν τις συνομιλίες τους.

Το ελάττωμα (παρακολουθείται ως CVE-2025-36911 και μεταγλωττίστηκε WhisperPair) επηρεάζει εκατοντάδες εκατομμύρια ασύρματα ακουστικά, ακουστικά και ηχεία από πολλούς κατασκευαστές που υποστηρίζουν τη λειτουργία Fast Pair της Google. Επηρεάζει τους χρήστες ανεξάρτητα από το λειτουργικό τους σύστημα smartphone, επειδή το ελάττωμα βρίσκεται στα ίδια τα αξεσουάρ, πράγμα που σημαίνει ότι οι χρήστες iPhone με ευάλωτες συσκευές Bluetooth κινδυνεύουν εξίσου.

Ερευνητές με Ομάδα Ασφάλειας Υπολογιστών και Βιομηχανικής Κρυπτογραφίας KU Leuven που το ανακάλυψαν εξηγούν ότι η ευπάθεια προέρχεται από την ακατάλληλη εφαρμογή του πρωτοκόλλου Fast Pair σε πολλά κορυφαία αξεσουάρ ήχου.

Αν και η προδιαγραφή Fast Pair λέει ότι οι συσκευές Bluetooth θα πρέπει να αγνοούν τα αιτήματα σύζευξης όταν δεν βρίσκονται σε λειτουργία σύζευξης, πολλοί προμηθευτές δεν έχουν επιβάλει αυτόν τον έλεγχο στα προϊόντα τους, επιτρέποντας σε μη εξουσιοδοτημένες συσκευές να ξεκινήσουν τη σύζευξη χωρίς τη συγκατάθεση ή τη γνώση του χρήστη.

“Για να ξεκινήσει η διαδικασία Fast Pair, ένας Seeker (ένα τηλέφωνο) στέλνει ένα μήνυμα στον πάροχο (ένα αξεσουάρ) που υποδεικνύει ότι θέλει να πραγματοποιήσει σύζευξη. Η προδιαγραφή Fast Pair αναφέρει ότι εάν το αξεσουάρ δεν βρίσκεται σε λειτουργία σύζευξης, θα πρέπει να αγνοήσει τέτοια μηνύματα.” είπαν οι ερευνητές.

“Ωστόσο, πολλές συσκευές αποτυγχάνουν να επιβάλουν αυτόν τον έλεγχο στην πράξη, επιτρέποντας σε μη εξουσιοδοτημένες συσκευές να ξεκινήσουν τη διαδικασία σύζευξης. Αφού λάβει μια απάντηση από την ευάλωτη συσκευή, ένας εισβολέας μπορεί να ολοκληρώσει τη διαδικασία Γρήγορης σύζευξης καθιερώνοντας μια κανονική σύζευξη Bluetooth.”

Οι επιτιθέμενοι μπορούν να εκμεταλλευτούν το ελάττωμα του WhisperPair χρησιμοποιώντας οποιαδήποτε συσκευή με δυνατότητα Bluetooth (όπως φορητό υπολογιστή, Raspberry Pi ή ακόμα και τηλέφωνο) για να ζευγαρώσουν αναγκαστικά με ευάλωτα αξεσουάρ από τις Google, Jabra, JBL, Logitech, Marshall, Nothing, OnePlus, Sony, Soundcore και Xiaomi εντός δευτερολέπτων ή φυσικού χρήστη σε εύρος 14 μέτρων.

Μετά τη σύζευξη, αποκτούν τον πλήρη έλεγχο της συσκευής ήχου, επιτρέποντάς τους να εκτοξεύουν ήχο σε υψηλή ένταση ή να κρυφακούουν τις συνομιλίες των χρηστών μέσω του μικροφώνου της συσκευής.

Το CVE-2025-36911 επιτρέπει επίσης στους εισβολείς να παρακολουθούν την τοποθεσία των θυμάτων τους χρησιμοποιώντας το δίκτυο Find Hub της Google, εάν το αξεσουάρ δεν έχει ποτέ συζευχθεί με μια συσκευή Android, προσθέτοντας τη συσκευή στον δικό τους λογαριασμό Google.

«Το θύμα μπορεί να δει μια ανεπιθύμητη ειδοποίηση παρακολούθησης μετά από αρκετές ώρες ή ημέρες, αλλά αυτή η ειδοποίηση θα εμφανίζει τη δική του συσκευή», πρόσθεσαν. “Αυτό μπορεί να οδηγήσει τους χρήστες να απορρίψουν την προειδοποίηση ως σφάλμα, επιτρέποντας στον εισβολέα να συνεχίσει να παρακολουθεί το θύμα για μεγάλο χρονικό διάστημα.”

Η Google απένειμε στους ερευνητές 15.000 δολάρια, τη μέγιστη δυνατή επιβράβευση, και συνεργάστηκε με τους κατασκευαστές για την έκδοση ενημερώσεων κώδικα ασφαλείας κατά τη διάρκεια ενός παραθύρου αποκάλυψης 150 ημερών. Ωστόσο, σημείωσαν ότι οι ενημερώσεις ασφαλείας που αντιμετωπίζουν αυτό το ελάττωμα ενδέχεται να μην είναι ακόμη διαθέσιμες για όλες τις ευάλωτες συσκευές.

Η μόνη άμυνα ενάντια σε εισβολείς που παραβιάζουν ευάλωτα αξεσουάρ Bluetooth με δυνατότητα Fast Pair είναι η εγκατάσταση ενημερώσεων υλικολογισμικού από κατασκευαστές συσκευών. Η απενεργοποίηση του Fast Pair σε τηλέφωνα Android δεν αποτρέπει την επίθεση, καθώς η δυνατότητα δεν μπορεί να απενεργοποιηθεί στα ίδια τα αξεσουάρ.