Groźna luka w słuchawkach bezprzewodowych. Dobrze czytasz: w SŁUCHAWKACH
Popularna funkcja szybkiego parowania słuchawek ma poważną wadę. W skrajnych przypadkach umożliwia przejęcie kontroli nad urządzeniem bez wiedzy właściciela.
Bezprzewodowe słuchawki to dziś jeden z najbardziej „intymnych” gadżetów. Towarzyszą nam w pracy, w drodze do domu, podczas rozmów telefonicznych i wideokonferencji. Tym bardziej niepokojące są ustalenia badaczy z belgijskiego uniwersytetu KU Leuven, którzy wykryli krytyczną lukę w używanej przez smartfony z Androidem technologii Google Fast Pair. Luka umożliwia zdalne przejęcie kontroli nad słuchawkami i podsłuch oraz śledzenie użytkownika
Miliony słuchawek znanych marek mogą być podatne na WhisperPair
Google Fast Pair to mechanizm szybkiego parowania akcesoriów Bluetooth z telefonem. To właśnie dzięki niemu nowe słuchawki "same" pojawiają się na ekranie smartfona i łączą się jednym dotknięciem. Badacze zwracają jednak uwagę, że wielu producentów zaimplementowało ten standard niezgodnie ze specyfikacją. W efekcie urządzenia nie sprawdzają, czy faktycznie znajdują się w trybie parowania, i reagują na obce żądania połączenia.
Na tej luce opiera się atak nazwany WhisperPair. Wystarczy, że osoba atakująca znajdzie się w promieniu około 14 metrów od ofiary. Korzystając z dowolnego sprzętu z Bluetooth - laptopa czy małego komputera pokroju Raspberry Pi - może w kilka lub kilkanaście sekund sparować się ze słuchawkami. Bez żadnych komunikatów, bez kliknięć, bez ostrzeżeń.
Skutki takiego ataku mogą być opłakane
Po przejęciu kontroli atakujący zyskuje dostęp do mikrofonu w słuchawkach, co w skrajnym scenariuszu umożliwia podsłuchiwanie rozmów lub dźwięków z otoczenia. Może też odtwarzać dźwięk, zakłócać połączenia czy ingerować w działanie urządzenia. To jednak nie koniec problemów.
Część podatnych modeli współpracuje również z siecią lokalizacyjną Google Find Hub, przeznaczoną do odnajdywania zgubionych akcesoriów. Badacze wykazali, że przejęte słuchawki można przypisać do konta atakującego i wykorzystać do śledzenia właściciela. Co istotne, zagrożenie dotyczy także osób, które nigdy nie korzystały z Androida - wystarczy, że napastnik zrobi to za nich. Potencjalne ostrzeżenie o "niechcianym śledzeniu" może pojawić się dopiero po wielu godzinach lub dniach i wskazywać urządzenie użytkownika, co łatwo uznać za błąd systemu.
Lista zagrożonych produktów obejmuje sprzęt wielu znanych marek, w tym Sony, JBL, Xiaomi, Nothing, OnePlus, Jabra czy Google Pixel. Wśród nich są zarówno słuchawki nauszne z wyższej półki, jak i popularne modele douszne, sprzedawane w milionach egzemplarzy. Co szczególnie niepokojące, podatne urządzenia przeszły zarówno wewnętrzne testy producentów, jak i proces certyfikacji Fast Pair, co - zdaniem autorów raportu - pokazuje systemowy problem, a nie pojedynczy incydent.
Belgijscy badacze zgłosili lukę Googlowi w sierpniu 2025 roku i natychmiast otrzymała ona status krytyczny (CVE-2025-36911). Zgodnie z informacją przekazaną serwisowi Gizmodo, Google miał natychmiast podjąć współpracę z producentami w ramach 150-dniowego okresu odpowiedzialnego ujawniania, wprowadzając poprawki do ekosystemu Find Hub oraz zaostrzając wymagania certyfikacyjne. Jednocześnie firma podkreśliła, że nie ma dowodów na wykorzystanie luki poza testami laboratoryjnymi.
Obecnie jedynym sposobem zabezpieczenia się przed atakiem jest aktualizacja oprogramowania słuchawek - zwykle za pośrednictwem aplikacji producenta na telefonie lub komputerze. Jak zauważają Belgowie, udostępniona przez nich lista modeli słuchawek to jedynie lista urządzeń, które oni sami przetestowali pod kątem podatności na WhisperPair. W rzeczywistości podatnych urządzeń może być znacznie więcej.
Może zainteresować cię także:
