Обнаружена уязвимость в протоколе Google Fast Pair, которая позволяет перехватывать управление Bluetooth-устройством. Уязвимость открывает доступ к конфиденциальной информации пользователей.
Проблема получила идентификатор CVE-2025-36911 и название WhisperPair. Под угрозу попали беспроводные устройства разных производителей, которые поддерживают Fast Pair. Уязвимыми оказались сами аксессуары, поэтому проблема касается владельцев устройств на базе Android и iPhone.
Основная причина возникновения угрозы заключается в некорректной реализации стандарта Fast Pair. Согласно официальной документации Google, Bluetooth-устройства должны отклонять запросы на соединение, если они не находятся в режиме подключения. Однако большинство компаний пренебрегли этим требованием, открыв окно возможностей для несанкционированного подключения посторонних устройств.
Эксплуатация уязвимости возможна с любого устройства, которое имеет Bluetooth модуль. Принудительное сопряжение может произойти на расстоянии 14 метров от жертвы. После успешного соединения злоумышленник получает возможность полностью контролировать работу аудиоустройства: менять уровень звука, передавать собственную аудиозапись, прослушивать окружение и мониторить местоположение жертвы.
Важно отметить, что уведомления о подозрительном подключении зачастую приходят спустя часы или дни, что заставляет пользователя воспринимать сообщение как случайную ошибку. Таким образом, вероятность продолжительного наблюдения остается весьма высока.
На сегодняшний день единственным эффективным способом защиты является своевременная установка обновлений прошивки от официальных разработчиков оборудования. Стоит учитывать, что полное отключение функции Fast Pair не защитит вас, поскольку такая настройка отсутствует на уровне периферийного устройства.
Проблема получила идентификатор CVE-2025-36911 и название WhisperPair. Под угрозу попали беспроводные устройства разных производителей, которые поддерживают Fast Pair. Уязвимыми оказались сами аксессуары, поэтому проблема касается владельцев устройств на базе Android и iPhone.
Основная причина возникновения угрозы заключается в некорректной реализации стандарта Fast Pair. Согласно официальной документации Google, Bluetooth-устройства должны отклонять запросы на соединение, если они не находятся в режиме подключения. Однако большинство компаний пренебрегли этим требованием, открыв окно возможностей для несанкционированного подключения посторонних устройств.
Эксплуатация уязвимости возможна с любого устройства, которое имеет Bluetooth модуль. Принудительное сопряжение может произойти на расстоянии 14 метров от жертвы. После успешного соединения злоумышленник получает возможность полностью контролировать работу аудиоустройства: менять уровень звука, передавать собственную аудиозапись, прослушивать окружение и мониторить местоположение жертвы.
Важно отметить, что уведомления о подозрительном подключении зачастую приходят спустя часы или дни, что заставляет пользователя воспринимать сообщение как случайную ошибку. Таким образом, вероятность продолжительного наблюдения остается весьма высока.
На сегодняшний день единственным эффективным способом защиты является своевременная установка обновлений прошивки от официальных разработчиков оборудования. Стоит учитывать, что полное отключение функции Fast Pair не защитит вас, поскольку такая настройка отсутствует на уровне периферийного устройства.
Мы внедряем системы информационной безопасности в Свердловской области и Севастополе!
Благодаря многолетнему опыту и команде экспертов, знаем, что важно для IT-инфраструктуры и как защититься от киберугроз во всех сферах деятельности.
Оставьте свой контакт на главной странице и мы поможем с решением проблемы любой сложности!
+7 (343) 222-13-32 — Екатеринбург
+7 (978) 214 29 87 — Севастополь
Благодаря многолетнему опыту и команде экспертов, знаем, что важно для IT-инфраструктуры и как защититься от киберугроз во всех сферах деятельности.
Оставьте свой контакт на главной странице и мы поможем с решением проблемы любой сложности!
+7 (343) 222-13-32 — Екатеринбург
+7 (978) 214 29 87 — Севастополь