NovoVocê pode ouvir as histórias da Fox News agora!
O Google projetou o Fast Pair para tornar as conexões Bluetooth rápidas e sem esforço. Um toque substitui menus, códigos e emparelhamento manual. Essa conveniência agora traz sérios riscos. Pesquisadores de segurança da KU Leuven descobriram falhas no protocolo Fast Pair do Google que permitem o sequestro de um dispositivo silencioso. Eles chamaram o método de ataque de WhisperPair. Um invasor próximo pode se conectar a fones de ouvido ou alto-falantes sem o conhecimento do proprietário. Em alguns casos, o invasor pode até rastrear a localização do usuário. Além do mais, as vítimas nem precisam usar o Android ou possuir produtos do Google. Os usuários do iPhone também são afetados.
Inscreva-se para receber meu relatório CyberGuy gratuito
Receba minhas melhores dicas técnicas, alertas de segurança urgentes e ofertas exclusivas diretamente na sua caixa de entrada. Além disso, você obtém acesso instantâneo ao meu Ultimate Scam Survival Guide – gratuitamente quando se juntar a mim CYBERGUY.COM Boletim informativo.
A Apple alertou que milhões de iPhones foram comprometidos
O Fast Pair conecta fones de ouvido Bluetooth rapidamente, mas os pesquisadores descobriram que alguns dispositivos aceitam novos pares sem a devida autorização. (Kurt “Cyberguy” Knutson)
O que é o WhisperPair e como ele sequestra dispositivos Bluetooth
O Fast Pair funciona transmitindo a identificação do dispositivo para telefones e computadores próximos. Esse atalho acelera o emparelhamento. Os pesquisadores descobriram que muitos dispositivos ignoram uma regra fundamental. Eles aceitam novos pares mesmo que já estejam conectados. Isso abre a porta para o abuso.
Dentro do alcance do Bluetooth, um invasor pode emparelhar silenciosamente um dispositivo em cerca de 10 a 15 segundos. Uma vez conectados, eles podem interromper chamadas, injetar áudio ou ativar microfones. O ataque não requer hardware especial e pode ser realizado usando um telefone padrão, laptop ou dispositivo de baixo custo, como Raspberry Pi. Segundo os pesquisadores, o invasor torna-se efetivamente o proprietário do dispositivo.
Marcas de áudio afetadas pela vulnerabilidade Fast Pair
Os pesquisadores testaram 17 dispositivos compatíveis com Fast Pair de grandes marcas, incluindo Sony, Jabra, JBL, Marshall, Xiaomi, Nothing, OnePlus, Soundcore, Logitech e Google. A maioria desses produtos passou no teste de certificação do Google. Esses detalhes levantam questões incômodas sobre como as verificações de segurança são conduzidas.
Como os fones de ouvido se tornam dispositivos de rastreamento
Alguns modelos afetados criam um problema de privacidade ainda maior. Alguns dispositivos Google e Sony integram-se ao Find Hub, que usa dispositivos próximos para estimar a localização. Se o fone de ouvido nunca estiver vinculado a uma conta do Google, um invasor poderá reivindicá-lo primeiro. Isso permite que os movimentos do usuário sejam monitorados continuamente. Se a vítima receber posteriormente um alerta de rastreamento, pode parecer que ele aponta para seu próprio dispositivo. Isso facilita descartar o aviso como um erro.
O GOOGLE NEST ainda envia dados após o corte do controle remoto, descobriram os pesquisadores
Painel do invasor com localização da rede Find Hub. (KU Leuven)
Por que muitos dispositivos Fast Pair podem ser vulneráveis
Há outro problema que muitos usuários não consideram. Fones de ouvido e alto-falantes requerem atualizações de firmware. Essas atualizações geralmente vêm por meio de aplicativos específicos da marca que a maioria das pessoas não instala. Se você nunca baixar o aplicativo, não verá a atualização. Isso significa que dispositivos vulneráveis podem ficar expostos por meses ou anos.
A única maneira de corrigir esta vulnerabilidade é instalando uma atualização de software emitida pelo fabricante do dispositivo. Embora muitas empresas tenham lançado patches, as atualizações podem ainda não estar disponíveis para todos os modelos afetados. Os usuários devem verificar diretamente com o fabricante para determinar se uma atualização de segurança está disponível para seu dispositivo específico.
Por que a conveniência cria brechas de segurança
Bluetooth não é o problema. A falha reside na camada flexível construída sobre ela. O Fast Pair prioriza a velocidade em vez da aplicação estrita de propriedade. Os pesquisadores argumentam que o emparelhamento requer prova criptográfica de propriedade. Sem ele, recursos confortáveis tornam-se superfícies de ataque. Segurança e facilidade de uso não precisam estar em desacordo. Mas eles deveriam ser projetados juntos.
Google Fast Pair responde às falhas de segurança do WhisperPair
O Google disse que estava trabalhando com pesquisadores para corrigir as vulnerabilidades do WhisperPair e começou a enviar patches recomendados aos fabricantes de fones de ouvido no início de setembro. O Google confirmou que seus próprios fones de ouvido Pixel agora estão corrigidos.
Em uma declaração ao CyberGuy, um porta-voz do Google disse: “Agradecemos a cooperação com pesquisadores de segurança por meio de nosso programa Vulnerability Rewards, que ajuda a manter nossos usuários seguros. Trabalhamos com esses pesquisadores para resolver essas vulnerabilidades e não vimos nenhuma evidência de exploração fora da configuração de laboratório deste relatório. Recomendamos que os usuários verifiquem regularmente suas ferramentas de segurança e fones de ouvido mais recentes.
O Google diz que o principal problema é que alguns fabricantes de acessórios não seguem totalmente as especificações do Fast Pair. Essa especificação exige que os dispositivos aceitem solicitações de emparelhamento somente quando o usuário coloca intencionalmente o dispositivo no modo de emparelhamento. De acordo com o Google, as falhas no cumprimento dessa regra contribuíram para os riscos de áudio e microfone identificados pelos pesquisadores.
Para reduzir o risco no futuro, o Google disse que atualizou seu validador de par rápido e os requisitos de certificação para testar explicitamente se os dispositivos estão realizando verificações do modo de emparelhamento corretamente. O Google também afirma que fornece aos parceiros afiliados soluções destinadas a resolver completamente todos os problemas relevantes, uma vez aplicadas.
No que diz respeito ao rastreamento de localização, o Google diz que está trabalhando em uma correção do lado do servidor que impede que acessórios se registrem silenciosamente na rede Find Hub se nunca tiverem sido emparelhados com um dispositivo Android. Segundo a empresa, essa mudança aborda o risco de rastreamento do Find Hub em determinados cenários em todos os dispositivos, incluindo os próprios dispositivos do Google.
No entanto, os pesquisadores levantaram questões sobre a rapidez com que os patches chegam aos usuários e quanta visibilidade o Google tem sobre abusos no mundo real não relacionados ao hardware do Google. Eles argumentam que as deficiências na certificação permitiram que implementações falhas aumentassem o mercado, indicando problemas sistêmicos mais amplos.
Por enquanto, tanto o Google quanto os pesquisadores concordam em um ponto-chave. Os usuários devem instalar atualizações de firmware do fabricante para serem protegidos, e a disponibilidade pode variar de acordo com o dispositivo e a marca.
Medos de hackers em casas inteligentes: o que é real e o que é exagero
Notificação de rastreamento indesejada mostrando o próprio dispositivo da vítima. (KU Leuven)
Como reduzir seu risco agora
Você não pode desativar completamente o Fast Pair, mas pode reduzir sua exposição.
1) Verifique se o seu dispositivo foi afetado
Se você usar um acessório Bluetooth compatível com Google Fast Pair, incluindo fones de ouvido, fones de ouvido ou alto-falantes sem fio, você poderá ser afetado. Os pesquisadores criaram uma ferramenta de pesquisa pública que permite pesquisar o modelo específico do seu dispositivo e ver se ele é vulnerável. Verificar seu dispositivo é um primeiro passo fácil antes de decidir quais etapas tomar. visita Whisperpair.eu/vulnerable-devices Para ver se o seu dispositivo está listado.
2) Atualize seus dispositivos de áudio
Instale o aplicativo oficial do fabricante do seu fone de ouvido ou alto-falante. Verifique se há atualizações de firmware e aplique-as imediatamente.
3) Evite acasalar em locais públicos
Adicione novos dispositivos em espaços privados. Evite fazer duplas em aeroportos, cafés ou academias perto de estranhos.
4) Redefinição de fábrica se algo parecer errado
Os sinais de alerta incluem interrupções inesperadas de áudio, sons estranhos ou queda de conexão. Uma redefinição de fábrica pode remover emparelhamentos não autorizados, mas não corrige a vulnerabilidade subjacente. Uma atualização de firmware ainda é necessária.
5) Desligue o Bluetooth quando não for necessário
O Bluetooth deve ser ativado somente durante o uso ativo. Desligar o Bluetooth quando não estiver em uso limita a exposição, mas não elimina o risco inerente se o dispositivo permanecer sem correção.
6) Redefinir dispositivos usados
Sempre faça uma redefinição de fábrica antes de emparelhar fones de ouvido ou alto-falantes usados. Ele remove links ocultos e associações de contas.
7) Leve a sério os avisos de rastreamento
Investigue os alertas de rastreamento do Find Hub ou da Apple, mesmo que pareçam apontar para o seu próprio dispositivo.
8) Mantenha seu telefone atualizado
Instale atualizações do sistema operacional imediatamente. Patches de plataforma podem bloquear explorações mesmo quando os acessórios estão atrasados.
Principais conclusões de Kurt
WhisperPair mostra como pequenos atalhos podem levar a grandes falhas de privacidade. Os fones de ouvido parecem inofensivos. Porém eles contêm microfones, rádios e softwares que requerem manutenção e atualizações. Ignorá-los deixa os invasores explorados alegremente. Estar seguro agora significa prestar atenção ao equipamento que você antes considerava garantido.
As empresas deveriam poder emparelhar mais rápido do que a prova criptográfica de propriedade do dispositivo? Informe-nos escrevendo para nós em Cyberguy.com
Clique aqui para baixar o aplicativo Fox News
Inscreva-se para receber meu relatório CyberGuy gratuito
Receba minhas melhores dicas técnicas, alertas de segurança urgentes e ofertas exclusivas diretamente na sua caixa de entrada. Além disso, você obtém acesso instantâneo ao meu Ultimate Scam Survival Guide – gratuitamente quando se juntar a mim CYBERGUY.COM Boletim informativo.
Direitos autorais 2026 CyberGuy.com. Todos os direitos reservados.
