Группа исследователей из Лёвенского католического университета в Бельгии выяснила, что функция Google Fast Pair, предназначенная для быстрого сопряжения аудиоустройств, содержит уязвимость, с помощью которой хакеры могут прослушивать всё, что проигрывается в наушниках и колонках. Уязвимость получила название WhisperPair.
Исследование показало, что десятки моделей наушников от разных производителей, включая Google, JBL, Marshall и других легко доступны для хакеров. Если устройство совместимо с системой поиска Google Find Hub, оно также может быть использовано для слежки.
Пользователи iOS также находятся в зоне риска: злоумышленник может связать устройство со своим аккаунтом Google, после чего все вышеописанные функции также будут доступны.
Для использования уязвимости злоумышленнику достаточно находиться в зоне действия Bluetooth и иметь под рукой ID модели устройства. Хакер может получить этот идентификатор модели, если владеет той же моделью устройства, что и цель, или запросив общедоступный Google API. Отключать Fast Pair на Android-устройствах нельзя.
Многие из производителей аудиоустройств выпустили патчи, чтобы решить проблему, но исследователи отмечают, что для получения патча необходимо скачать приложение производителя и обновить прошивку оттуда, что делают далеко не все пользователи.
Для отслеживания уязвимых моделей был создан сайт, который отображает, какие из моделей наушников и колонок подвержены эксплойту.