Pesquisadores de segurança identificaram uma vulnerabilidade crítica no protocolo Fast Pair do Google que permite a invasores assumir o controle de acessórios de áudio Bluetooth, rastrear usuários e escutar suas conversas.
A falha, registrada como CVE-2025-36911 e apelidada WhisperPair, afeta centenas de milhões de fones de ouvido, earbuds e caixas de som sem fio de diversos fabricantes que suportam o Fast Pair.
O problema atinge usuários independentemente do sistema operacional do smartphone, já que a falha está nos próprios acessórios.
Ou seja, usuários de iPhone com dispositivos Bluetooth vulneráveis também estão expostos.
O grupo Computer Security and Industrial Cryptography da KU Leuven, responsável pela descoberta, explica que a vulnerabilidade decorre da implementação incorreta do protocolo Fast Pair em muitos acessórios de áudio de alto padrão.
Embora a especificação do Fast Pair determine que dispositivos Bluetooth devem ignorar solicitações de pareamento quando não estiverem no modo de pareamento, vários fabricantes deixam de aplicar essa verificação em seus aparelhos.
Isso permite que dispositivos não autorizados iniciem o pareamento sem o consentimento ou conhecimento do usuário.
“Para iniciar o procedimento Fast Pair, um Seeker (telefone) envia uma mensagem para o Provider (acessório) manifestando a intenção de parear.
Segundo a especificação, se o acessório não estiver no modo de pareamento, ele deve ignorar essas mensagens”, explicam os pesquisadores.
“No entanto, muitos dispositivos não seguem essa regra, permitindo que atacantes iniciem o pareamento.
Após receber a resposta do dispositivo vulnerável, o invasor pode concluir o processo estabelecendo um pareamento Bluetooth convencional.”
Explorando a falha WhisperPair, um atacante pode usar qualquer dispositivo com Bluetooth — como laptop, Raspberry Pi ou smartphone — para emparelhar forçadamente acessórios vulneráveis de marcas como Google, Jabra, JBL, Logitech, Marshall, Nothing, OnePlus, Sony, Soundcore e Xiaomi.
O ataque pode ocorrer a até 14 metros, em questão de segundos, sem interação ou acesso físico ao equipamento.
Após o pareamento, o invasor obtém controle total sobre o dispositivo de áudio, podendo emitir sons em volume alto ou ouvir conversas pelo microfone do acessório.
Além disso, a CVE-2025-36911 permite rastrear a localização das vítimas usando a rede Find Hub do Google, desde que o acessório nunca tenha sido pareado com um dispositivo Android e seja adicionado à conta Google do invasor.
“A vítima pode receber uma notificação indesejada de rastreamento após algumas horas ou dias, mas ela exibirá o próprio dispositivo dela”, alertam os pesquisadores.
“Isso pode levar o usuário a desconsiderar o alerta como um erro, permitindo que o invasor mantenha o rastreamento por longos períodos.”
O Google recompensou os pesquisadores com o valor máximo de US$ 15.000 em bug bounty e colaborou com os fabricantes para liberar patches de segurança durante um período de divulgação de 150 dias.
Contudo, nem todos os dispositivos vulneráveis contam com atualizações disponíveis até o momento.
A única forma eficaz de proteção contra o sequestro remoto dos acessórios Bluetooth com Fast Pair é instalar as atualizações de firmware fornecidas pelos fabricantes.
Desativar o Fast Pair em smartphones Android não bloqueia o ataque, pois o recurso não pode ser desligado diretamente nos acessórios.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...