Milliók veszélyben: nem csak Androidot érint
A WhisperPair néven ismert sérülékenység több százmillió fülhallgatót, fejhallgatót és hangszórót érint, függetlenül attól, hogy a felhasználó Androidot vagy iPhone-t használ. A hiba magukban az eszközökben rejlik, nem a telefonokban, így mindenki veszélyben lehet, akinek olyan tartozéka van, amely támogatja a Google Fast Pair funkcióját – ilyenek például a Google, Jabra, JBL, Logitech, Marshall, Nothing, OnePlus, Sony, Soundcore vagy Xiaomi eszközei.
Könnyű támadás, rejtett követés
A hiba oka, hogy sok gyártó hibásan valósította meg a Fast Pair előírásait: bár az eszközöknek csak párosítási módban szabadna párosítási kérésekre válaszolniuk, sok gyártó ezt figyelmen kívül hagyta. Így egy támadó akár egy laptopról vagy okostelefonról is pillanatok alatt csatlakozhat a közelben lévő, sérülékeny eszközhöz legfeljebb 14 méteres távolságból, felhasználói engedély vagy bármilyen fizikai interakció nélkül. Ezután teljes hozzáférése lesz az eszközhöz: zavaróan hangosan játszhat le zenét, vagy engedély nélkül belehallgathat a mikrofonon keresztül.
A helymeghatározás is támadható
A CVE-2025-36911-es kód alatt jegyzett probléma még a Google Eszközkereső (Find My Device) hálózatán keresztüli követést is lehetővé teszi, ha a kérdéses eszközt sosem párosították Android-telefonnal, mivel a támadó saját fiókjához rendelheti hozzá. Riasztás ugyan felugorhat a felhasználónál, de többnyire a saját eszközének tűnik, így könnyen félreértheti vagy figyelmen kívül hagyhatja a figyelmeztetést.
Védekezés csak frissítéssel lehetséges
A Google 5,7 millió forinttal (15 000 dollárral) jutalmazta a bejelentő kutatókat, és 150 napos türelmi idő alatt több gyártóval együttműködve igyekezett javításokat kiadni. Sok eszközhöz azonban még nem készült javítás. A felhasználók egyetlen védekezési módja az eszközök firmware-frissítésének telepítése. Az Android-telefonon történő Fast Pair tiltása nem ad védelmet, mert a hiba magukban a kiegészítőkben rejlik, és ezeken nem lehet kikapcsolni a sérülékeny funkciót.
