Новая уязвимость WhisperPair затрагивает Bluetooth-наушники и гарнитуры с поддержкой Google Fast Pair, позволяя злоумышленникам в радиусе до 14 метров незаметно захватывать контроль над устройством. Это приводит к возможным рискам прослушки через микрофон, проигрывания громкого аудио или даже слежки через сеть Find Hub Google. Проблема выявлена исследователями из KU Leuven и затрагивает сотни миллионов устройств от ведущих брендов Android-экосистемы.
Техническая суть уязвимости
Fast Pair упрощает сопряжение наушников с Android-устройствами, но многие аксессуары игнорируют проверку режима сопряжения: провайдер (наушники) отвечает на запросы “ищущего” (злоумышленник), даже если уже подключен к легитимному устройству. Затронута реализация на чипах Airoha, MediaTek, Qualcomm и других; из 19 протестированных устройств 17 уязвимы. Атака занимает медианные 10 секунд и работает на любом Bluetooth-оборудовании — от ноутбука до Raspberry Pi, без физического доступа или взаимодействия пользователя.
Затронутые устройства и бренды
Уязвимы флагманские модели от Sony (включая LinkBuds), JBL, Marshall, Xiaomi (Redmi Buds), Nothing, OnePlus, Realme, Jabra, Soundcore (Anker), Logitech, Razer, Libratone и даже Google Pixel Buds. Полный список моделей доступен на сайте исследователей; чипы Airoha наиболее распространены в бюджетных и среднеценовых TWS-наушниках Android-производителей. Пользователи iPhone также подвержены, поскольку Fast Pair встроен в аксессуар и не отключается.
Риски для пользователей Android
Захват контроля позволяет злоумышленнику прерывать аудиопоток, активировать микрофон для записи разговоров или добавлять устройство в Find Hub под своим аккаунтом — если наушники ранее не синхронизировались с Android. Отслеживание работает через краудсорсинговую сеть Android-устройств; уведомления о трекинге могут игнорироваться как ложные. Нет доказательств атак в дикой природе, но масштаб (сотни миллионов устройств) делает угрозу реальной в людных местах.
Статус исправлений
Google классифицировала проблему как критическую (CVE-2025-36911), сотрудничая с исследователями с августа 2025 года; выплатила максимальную награду $15 000. Производители чипов выпустили патчи, а бренды начали OTA-обновления: JBL через приложение Headphones, Xiaomi для Redmi Buds, Jabra заранее обновила часть устройств. Sony, Nothing и Marshall пока молчат; проверьте в официальных приложениях (Sony Headphones Connect, JBL Headphones app).
Рекомендации IT-специалиста
Обновите firmware немедленно через companion-приложение бренда — процесс занимает 5 минут, но многие игнорируют его после начальной настройки EQ. Не сбрасывайте заводские настройки: это не устраняет уязвимость. Для Android отключите сканирование Fast Pair в настройках Bluetooth (если доступно), но полная защита только от обновления прошивки; регулярно мониторьте уведомления о трекинге в Google Find My Device.
