Фахівці з кібербезпеки попереджають про критичну вразливість Bluetooth WhisperPair, яка може дозволити зловмисникам непомітно захоплювати контроль над бездротовими навушниками, гарнітурами та іншими аксесуарами. Проблема зачіпає мільйони пристроїв у всьому світі та пов’язана з механізмом швидкого підключення Fast Pair від Google.
Що таке WhisperPair і чому це небезпечно
Як повідомляє PCWorld, вразливість WhisperPair була виявлена дослідниками з групи COSIC ще в серпні 2025 року, однак лише тепер з’явився публічно задокументований робочий експлойт. Проблема криється в застарілих або некоректних реалізаціях сервісу Google Fast Pair Service.
Через вразливість WhisperPair зловмисники можуть непомітно під’єднуватися до Bluetooth-аксесуарів без режиму сполучення та підтвердження власника, перебуваючи лише в межах дії бездротового сигналу, що відкриває можливість прослуховувати розмови через вбудований мікрофон, відтворювати сторонній аудіоконтент або іншим чином втручатися в роботу пристрою.
Кого саме стосується загроза
Вразливість WhisperPair не впливає безпосередньо на смартфони на Android чи iOS, однак під загрозою перебувають Bluetooth-аксесуари – навушники, гарнітури та колонки з вразливими реалізаціями Fast Pair від Google: тип смартфона не має значення, функція може бути активована на аксесуарі за замовчуванням, а для атаки часто не потрібні ні попереднє сполучення, ні підтвердження з боку власника.
Особливий ризик для користувачів iPhone
Окрему небезпеку WhisperPair становить для користувачів Apple. Якщо Bluetooth навушники ніколи не були під’єднані до Android-пристрою, зловмисник може зареєструвати себе як власника аксесуара.
У такому разі навушники можна відстежувати через мережу Google Find Hub, подібно до AirTag. Це означає глобальне стеження, оскільки координати передаватимуться через інші Android пристрої, навіть якщо жертва перебуває далеко.
Android-користувачі, які вже підключали аксесуари через Fast Pair, зазвичай не піддаються цьому конкретному сценарію стеження.
Оновлення прошивки – єдиний надійний захист
Дослідники підкреслюють, що зміни в налаштуваннях смартфона не усувають вразливість WhisperPair, а єдиним надійним способом захисту залишається оновлення прошивки самого пристрою. Користувачам рекомендують перевірити наявність апдейтів через офіційний застосунок виробника, встановити всі доступні оновлення та виконати скидання до заводських налаштувань, щоб видалити можливі несанкціоновані підключення.
