Wydrukuj tę stronę

Google Fast Pair z poważną podatnością

18 styczeń 2026
Autor :  
Google Fast Pair z poważną podatnością
Badacze z belgijskiego uniwersytetu KU Leuven ujawnili poważną lukę bezpieczeństwa w urządzeniach korzystających z Google Fast Pair. Atak nazwany WhisperPair pozwala przejąć kontrolę nad słuchawkami i innymi akcesoriami Bluetooth, umożliwiając podsłuchiwanie użytkownika, śledzenie jego lokalizacji, a nawet ingerowanie w odtwarzany dźwięk.

To jedna z najpoważniejszych podatności, jakie dotknęły ekosystem Fast Pair, a jej skala jest wyjątkowo szeroka — problem dotyczy wielu urządzeń od dziesięciu producentów, w tym Sony, Nothing, JBL, OnePlus, a także samego Google.

Fast Pair miał być rozwiązaniem, które upraszcza parowanie urządzeń Bluetooth, eliminując konieczność ręcznego wyszukiwania akcesoriów. Niestety, jak pokazują badania, uproszczenie procesu otworzyło furtkę dla atakujących. WhisperPair wykorzystuje niepełną implementację standardu — wiele akcesoriów akceptuje przychodzące prośby o połączenia Fast Pair nawet wtedy, gdy nie znajdują się w trybie parowania. Atakujący może więc wymusić połączenie, korzystając z klasycznego procesu parowania Bluetooth, a następnie przejąć kontrolę nad urządzeniem.

Co szczególnie niepokojące, atak jest szybki i trudny do wykrycia. Badacze podają, że przejęcie słuchawek zajmuje średnio około dziesięciu sekund, a zasięg wynosi nawet czternaście metrów — to niemal granica możliwości Bluetooth, a jednocześnie dystans, który nie wzbudziłby podejrzeń ofiary. Po uzyskaniu dostępu napastnik może nie tylko zakłócać dźwięk, lecz także aktywować mikrofon i śledzić użytkownika, wykorzystując sygnał Bluetooth jako znacznik lokalizacji.

Google potwierdziło istnienie podatności i poinformowało partnerów o konieczności przygotowania aktualizacji. Firma wdrożyła również częściową poprawkę po stronie smartfonów, lecz badacze szybko znaleźli sposób na jej obejście. Dopiero pełna aktualizacja dla Pixel Buds Pro 2 rozwiązała problem w tych słuchawkach, ale w przypadku wielu innych urządzeń proces naprawy może potrwać tygodnie lub miesiące jeśli w ogóle otrzymają one aktualizację firmware. Sytuację komplikuje fakt, że użytkownicy często nie instalują aplikacji towarzyszących akcesoriom, co oznacza, że ich firmware pozostaje w wersji fabrycznej — a więc podatnej.

WhisperPair nie może zostać zablokowany przez użytkownika, ponieważ Fast Pair jest integralną funkcją urządzeń, które go obsługują. Jedyną formą ochrony jest instalacja oficjalnej aplikacji producenta i oczekiwanie na aktualizację firmware urządzenia. Jeśli ktoś podejrzewa, że jego słuchawki zostały przejęte, jedynym sposobem na odzyskanie kontroli jest przywrócenie ich do ustawień fabrycznych.

Google podkreśla, że nie ma dowodów na wykorzystanie WhisperPair w rzeczywistych atakach, ale teraz, gdy luka została ujawniona, ryzyko rośnie. To kolejny przykład na to, jak trudne jest zabezpieczenie ekosystemu akcesoriów, które rzadko otrzymują aktualizacje i często działają w tle, pozostając poza świadomością użytkowników. WhisperPair pokazuje, że nawet funkcje stworzone z myślą o wygodzie mogą stać się poważnym zagrożeniem, jeśli producenci nie zadbają o pełną zgodność ze standardami bezpieczeństwa.

Źródło: Ars Technica

Tag :


Artykuły powiązane

W ramach naszej witryny stosujemy pliki cookies w celu świadczenia usług na najwyższym poziomie, w tym w sposób dostosowany do indywidualnych potrzeb. Korzystanie z witryny bez zmiany ustawień dotyczących cookies oznacza, że będą one zamieszczane w urządzeniu końcowym. Można dokonać w każdym czasie zmiany ustawień dotyczących cookies. Więcej szczegółów w naszej Polityce Prywatności. Akceptuję otrzymywanie plików cookies z serwisu pdaclub.pl. Akceptuję