Уязвимость WhisperPair ставит под угрозу миллионы Bluetooth-устройств по всему миру
Исследователи из группы Computer Security and Industrial Cryptography при Католическом университете Лёвена (KU Leuven) выявили критическую уязвимость в протоколе Google Fast Pair, получившую обозначение CVE-2025-36911 и прозванную WhisperPair. Уязвимость затрагивает сотни миллионов Bluetooth-аксессуаров - наушников, гарнитур и колонок - от ряда крупных производителей.
Ключевая проблема заключается в несоответствии спецификации Fast Pair фактической реализации в устройствах. Согласно стандарту, аксессуар должен игнорировать запросы на сопряжение, если он не находится в режиме подключения, однако многие устройства этого не делают. В результате злоумышленнику достаточно отправить запрос Fast Pair с помощью ноутбука, смартфона или другого Bluetooth-устройства на расстоянии до примерно 14 метров - и получить доступ к целевому устройству без уведомлений или подтверждений со стороны пользователя.
После успешного подключения атака позволяет злоумышленнику не только управлять соединением, но и, по оценкам специалистов, перехватывать звук и данные, что теоретически даёт возможность подслушивать разговоры, музыкальные потоки и даже отслеживать перемещение пользователя через активные Bluetooth-сессии. Такие риски выходят за рамки простой уязвимости сопряжения и могут затронуть приватность ключевых категорий пользователей.
Под угрозой оказались устройства от многих крупных брендов, в том числе Google, Jabra, JBL, Logitech, Marshall, Nothing, OnePlus, Sony и Xiaomi. Исследователи отмечают, что проблема не связана с уязвимостью смартфонов или операционных систем - она кроется в самих аксессуарах, поддерживающих Fast Pair, то есть затрагивает как владельцев Android-устройств, так и iPhone.
Эксперты предупреждают, что пока производители не выпустят обновления прошивок или исправления, пользователям следует с осторожностью подходить к включению Bluetooth-сопряжения в общественных местах и использовать дополнительные механизмы защиты, если это возможно.
Теги:
похожие материалы
В сети появились сообщения об исключении домена YouTube из DNS Роскомнадзора
Telegram-канал ExploitEx сообщил о признаках усиления ограничений в отношении видеохостинга YouTube в России.
Роскомнадзор начал вводить меры по частичному ограничению работы Telegram в России
Власти приняли решение приступить к поэтапному ограничению работы мессенджера Telegram в России.
Исследователи зафиксировали рост кооперации политически мотивированных хакерских группировок
Центр мониторинга и реагирования на киберугрозы RED Security SOC сообщил о формировании устойчивого тренда на кооперацию политически мотивированных хакерских группировок при атаках на российский бизнес.
Минцифры планирует создать площадку для тестирования ИИ на безопасность
Для систем искусственного интеллекта высокого и критического уровня риска потребуется получать сертификат на соответствие требованиям безопасности Федеральной службы по техническому и экспертному контролю (ФСТЭК) и Федеральной службы безопасности (ФСБ).
«Газинформсервис» подтвердил членство в РОСЭУ и анонсировал создание системы независимого аудита УЦ
Компания «Газинформсервис» подтвердила статус члена Ассоциации РОСЭУ на 2026 год.
BeyondTrust выпустила патч для устранения критической уязвимости
По данным официального бюллетеня безопасности, компания BeyondTrust опубликовала предупреждение о критической уязвимости в продуктах Remote Support и Privileged Remote Access, позволяющей злоумышленнику удалённо выполнить произвольный код без предварительной аутентификации.
Эксперты прогнозируют увеличение объема рынка облачных сервисов до более 1 трлн рублей
Объем российского рынка облачных сервисов к 2030 году достигнет 1,2 трлн рублей при среднегодовых темпах роста в 24,4%, говорится в предварительных оценках компаний РТК-ЦОД и iKS-Consulting.
Эксперты предупреждают о рисках использования бесплатных VPN-сервисов
Специалисты по кибербезопасности предупреждают, что бесплатные VPN-сервисы могут представлять серьезные риски для конфиденциальности и безопасности пользователей.
Облака в одном окне: «Группа Астра» анонсирует Clouden для централизованного управления гибридной инфраструктурой
«Группа Астра» вывела на рынок Clouden — решение для централизованного управления гибридной и мультиоблачной инфраструктурой.
СберКорус и «Актив» выпустили лимитированную партию премиальных ключевых носителей
Оператор электронного документооборота СберКорус совместно с крупнейшим российским производителем и разработчиком программно-аппаратных средств защиты информации.