Pesquisadores da KU Leuven descobriram uma vulnerabilidade crítica no protocolo Fast Pair, apelidada WhisperPair (CVE-2025-36911), que permite o pareamento e controle não autorizado de acessórios de áudio Bluetooth em consumo massivo.
Descoberta e escopo
O problema foi relatado aos responsáveis pela especificação em agosto de 2025 e afeta "centenas de milhões" de dispositivos de múltiplos fabricantes, segundo a publicação original. Entre os modelos citados estão equipamentos de Sony, Anker, Google, Jabra, JBL, Logitech, Marshall, Nothing, OnePlus, Soundcore e Xiaomi.
Vetor e exploração
Conforme os pesquisadores, a raiz do problema está na implementação do Fast Pair nos próprios acessórios: dispositivos que não verificam corretamente se estão em modo de pareamento aceitam solicitações de emparelhamento originadas de qualquer dispositivo Bluetooth padrão (laptop, smartphone, Raspberry Pi etc.).
- Tempo médio de sucesso: aproximadamente 10 segundos;
- Alcance observado: até 14 metros;
- Não exige acesso físico ao alvo;
- Exploração resulta em controle total do acessório (reprodução de áudio, gravação via microfone quando disponível).
Efeito colateral: rastreamento via Find Hub
Pesquisadores alertam que, para acessórios que nunca foram emparelhados com contas Android, um atacante pode adicioná‑los à sua própria conta Google e usar a rede Find Hub para localizar o dispositivo vítima.
O relatório observa que "a notificação de rastreamento mostra o próprio dispositivo da vítima, o que pode levar o usuário a ignorá‑la como um bug do sistema".
Mitigações e disponibilidade de correções
O único remédio efetivo indicado é atualização de firmware fornecida pelo fabricante do acessório. A pesquisa indica que vários fabricantes já liberaram patches, mas que atualizações podem ainda não estar disponíveis para toda a base instalada.
Recomendações práticas
- Verificar com o fabricante a disponibilidade de firmware atualizado;
- Seguir o manual do acessório para procedimento de atualização de firmware;
- Enquanto não houver correção, reduzir exposição (evitar usar acessórios em locais públicos, desligar Bluetooth quando não estiver em uso sempre que possível).
O que falta
O material disponível descreve o vetor e as consequências, mas não lista modelos/firmwares específicos por número de versão que permanecem vulneráveis. Isso impede inventários precisos em grandes organizações; portanto, recomenda‑se contato direto com fornecedores para confirmação técnica.
Implicações
WhisperPair representa uma falha sistêmica na cadeia: dispositivos vulneráveis passaram por QA de fabricantes e processos de certificação Google antes de chegar ao mercado. Do ponto de vista de privacidade e segurança de ambientes corporativos, a possibilidade de gravação remota e rastreamento físico torna o risco material para executivos e colaboradores que usam acessórios de áudio em deslocamento.