Fast Pair

Pesquisadores da Universidade Católica de Leuven identificaram uma vulnerabilidade crítica no protocolo Fast Pair da Google, chamada WhisperPair (CVE-2025-36911), que afeta centenas de milhões de fones de ouvido e microfones Bluetooth. Essa falha permite que hackers sequestram dispositivos de áudio, possibilitando o rastreamento de usuários e a escuta de conversas sem o consentimento da vítima. A vulnerabilidade decorre de uma má implementação do protocolo, que deveria ignorar pedidos de pareamento não autorizados, mas que foi negligenciada por diversos fabricantes. Dispositivos de marcas como Google, JBL, Sony e Xiaomi estão entre os afetados, permitindo conexões a até 14 metros de distância. Após a descoberta, a Google premiou os pesquisadores com US$ 15.000 e está colaborando com os fabricantes para lançar correções. No entanto, a única defesa disponível para os usuários é a instalação de atualizações de firmware, já que desabilitar o Fast Pair nos celulares não impede o ataque. Essa situação levanta preocupações sobre a segurança de dispositivos Bluetooth e a privacidade dos usuários.

Pesquisadores de segurança descobriram uma vulnerabilidade crítica no protocolo Fast Pair do Google, que permite que atacantes sequestram acessórios de áudio Bluetooth, rastreiem usuários e escutem conversas. A falha, identificada como CVE-2025-36911 e chamada de WhisperPair, afeta centenas de milhões de fones de ouvido, earbuds e alto-falantes de diversos fabricantes que suportam o recurso Fast Pair. O problema reside na implementação inadequada do protocolo, permitindo que dispositivos não autorizados iniciem o emparelhamento sem o consentimento do usuário. Após o emparelhamento, os atacantes podem controlar completamente o dispositivo, podendo reproduzir áudio em volumes altos ou escutar conversas através do microfone do acessório. Além disso, a vulnerabilidade permite que os atacantes rastreiem a localização das vítimas usando a rede Find Hub do Google. O Google já recompensou os pesquisadores com US$ 15.000 e está trabalhando com os fabricantes para lançar patches de segurança, embora nem todos os dispositivos vulneráveis tenham atualizações disponíveis. A única defesa contra esses ataques é a instalação de atualizações de firmware dos fabricantes, uma vez que desativar o Fast Pair em smartphones Android não impede a exploração da falha nos acessórios.