Ars Technica: Many Bluetooth devices with Google Fast Pair vulnerable to “WhisperPair” hack. “A team of security researchers from Belgium’s KU Leuven University has revealed a vulnerability dubbed WhisperPair that allows an attacker to hijack Fast Pair-enabled devices to spy on the owner.”

ワイヤレスイヤホンが盗聴器に？Google Fast Pairの仕様突く「WhisperPair」発覚。10秒・14m以内でデバイス制御を奪取、対象機器の確認と更新を

https://fed.brid.gy/r/https://daily-gadget.net/audio/105783/

Luka w Google Fast Pair. Twoje słuchawki mogą posłużyć do śledzenia

Wygoda błyskawicznego parowania słuchawek z telefonem ma swoją cenę, a badacze bezpieczeństwa właśnie wystawili rachunek.

Naukowcy z belgijskiego uniwersytetu KU Leuven ujawnili istnienie luki „WhisperPair” w popularnym protokole Google Fast Pair. Podatność ta pozwala atakującym na zdalne przejęcie kontroli nad akcesoriami Bluetooth, co w konsekwencji może prowadzić do śledzenia lokalizacji użytkownika, a nawet podsłuchu.

Twój dom wreszcie zrozumie, że oglądasz film. Google Home z potężną aktualizacją automatyzacji

Błąd, który kosztuje prywatność

Sednem problemu jest błąd w implementacji procesu parowania przez wielu producentów elektroniki. Zgodnie ze specyfikacją, akcesorium powinno odrzucić próbę połączenia, jeśli użytkownik nie wprowadził go fizycznie w tryb parowania.

W praktyce jednak wiele urządzeń pomija ten kluczowy krok weryfikacji. Dzięki temu haker, znajdujący się w zasięgu Bluetooth i używający prostego sprzętu (np. laptopa czy Raspberry Pi), może wymusić połączenie z naszymi słuchawkami bez naszej wiedzy i jakiejkolwiek interakcji z naszej strony.

Nie tylko Android

Konsekwencje luki WhisperPair są poważne. Udany atak pozwala na wykorzystanie cudzego urządzenia do śledzenia ofiary (np. poprzez funkcje lokalizacyjne typu Find My), zakłócanie odtwarzania audio, a w skrajnych przypadkach – nagrywanie rozmów telefonicznych i dźwięków otoczenia.

Co istotne, zagrożenie nie ogranicza się tylko do ekosystemu Androida. Ponieważ celem ataku jest samo akcesorium, a nie telefon, na niebezpieczeństwo narażeni są również użytkownicy iPhone’ów korzystający z podatnych na atak słuchawek obsługujących Fast Pair.

Kto jest zagrożony?

Lista urządzeń dotkniętych problemem obejmuje flagowe produkty największych marek technologicznych. Raport badaczy wymienia m.in. popularne modele Sony z serii WH-1000XM (w tym najnowsze „szóstki”, a także XM5 i XM4), Nothing Ear (a), OnePlus Nord Buds 3 Pro, a nawet autorskie słuchawki Google – Pixel Buds Pro 2.

Badacze podkreślają, że choć nie każde urządzenie z Fast Pair jest podatne na atak, to w przypadku wymienionych modeli ryzyko przejęcia kontroli jest realne.

Jedyny ratunek: aktualizacja

Niestety, użytkownicy nie mają możliwości samodzielnego wyłączenia funkcjonalności Fast Pair w swoich gadżetach. Jedyną skuteczną linią obrony jest aktualizacja oprogramowania układowego (firmware) poszczególnych akcesoriów.

Google oraz producenci sprzętu zostali poinformowani o luce jeszcze w sierpniu 2025 roku, co oznacza, że odpowiednie łatki bezpieczeństwa powinny być już dostępne lub pojawią się w najbliższym czasie. Warto więc niezwłocznie sprawdzić dostępność update’ów w dedykowanych aplikacjach do obsługi słuchawek.

Koniec bałaganu w płatnościach. Portfel Google wreszcie z pełną historią (także z zegarka!)

Alerta de seguridad expertos instan a actualizar auriculares por una vulnerabilidad en Google Fast Pair

Especialistas en ciberseguridad han detectado una falla crítica en el protocolo Google Fast Pair que podría permitir el acceso no autorizado a dispositivos vinculados. La vulnerabilidad afecta a una amplia gama de auriculares inalámbricos, por lo que se recomienda a los usuarios instalar las últimas actualizaciones de firmware de inmediato para proteger su privacidad.

La comodidad de la conexión rápida de Google, conocida como Fast Pair, ha quedado en entredicho tras el descubrimiento de una brecha de seguridad que expone a millones de usuarios de auriculares Bluetooth. Según los expertos, esta vulnerabilidad permite a un atacante en las cercanías interceptar la señal de emparejamiento o incluso ejecutar comandos de audio no autorizados. El fallo radica en la forma en que el protocolo gestiona las claves de cifrado durante el primer enlace, lo que facilita que terceros puedan «suplantar» la identidad de los auriculares para acceder a información del dispositivo móvil conectado.

Fabricantes de renombre que utilizan esta tecnología, como Sony, Bose, JBL y la propia Google con sus Pixel Buds, ya han comenzado a liberar parches de seguridad para mitigar el riesgo. El principal desafío para los usuarios es que, a diferencia de los smartphones, las actualizaciones de los auriculares no siempre son automáticas y requieren el uso de aplicaciones específicas de cada marca. Por ello, los analistas recalcan la importancia de abrir las apps de gestión de los periféricos y verificar manualmente si hay versiones de software pendientes de instalación.

Este incidente resalta los riesgos de seguridad que acompañan a la proliferación de dispositivos del Internet de las Cosas (IoT). Aunque Google ya trabaja en una solución a nivel de sistema operativo para Android, la responsabilidad de cerrar la brecha recae actualmente en los fabricantes de hardware. Mientras tanto, se aconseja evitar el emparejamiento de nuevos dispositivos en lugares públicos concurridos hasta que se haya confirmado que el firmware de los auriculares está completamente al día.

#actualización #android #arielmcorg #auriculares #bluetooth #ciberseguridad #GoogleFastPair #infosertec #PORTADA #privacidad #SeguridadDigital #tecnología

Google Fast Pair: falla minaccia auricolari e speaker
#Accessori #Auricolari #Bluetooth #Cuffie #CyberSecurity #FastPair #Google #GoogleFastPair #Hacker #Hacking #Privacy #Sicurezza #Speaker #TechNews #Tecnologia #Vulnerabilità #WhisperPair

https://www.ceotech.it/google-fast-pair-falla-minaccia-auricolari-e-speaker/