Falha em protocolo BlueTooth leva a invasão de dispositivo

Falha em protocolo Bluetooth compromete dispositivos

Pesquisadores da Universidade de Leuven, na Bélgica, identificaram uma falha crítica no protocolo Fast Pair do Google, que possibilita invasores sequestrarem acessórios Bluetooth e rastrearem usuários. Denominada WhisperPair, essa vulnerabilidade afeta uma ampla gama de dispositivos de áudio sem fio populares e evidencia falhas sistêmicas na segurança do design e certificação da Fast Pair.

O ataque foi descoberto por especialistas do grupo COSIC e do grupo DistriNet da Universidade de Leuven. A investigação revelou falhas fundamentais na implementação do protocolo Fast Pair por muitos acessórios Bluetooth de ponta, que foi criado para facilitar e acelerar o emparelhamento entre dispositivos Android e acessórios como fones de ouvido e caixas de som.

O Google Fast Pair permite que dispositivos Android (Receptores) iniciem uma conexão Bluetooth com acessórios (Fornecedores) através de um processo simplificado que envolve sincronização de conta e descoberta de dispositivos. No entanto, muitos dispositivos falham em um requisito essencial: não verificam se estão em modo de emparelhamento antes de responder a uma solicitação. Essa falha possibilita que invasores simulem uma conexão legítima e iniciem um emparelhamento forçado, sem o consentimento do usuário.

Após o emparelhamento, o atacante pode assumir o controle total do acessório, reproduzindo áudio perturbador no volume máximo ou, mais preocupantemente, gravando áudio através do microfone do dispositivo. Em testes de laboratório, o ataque foi realizado com sucesso em média em 10 segundos, a distâncias de até 14 metros, utilizando apenas hardware padrão com Bluetooth, como um telefone ou laptop, sem a necessidade de acesso físico ao dispositivo da vítima.

Além disso, o rastreamento de localização também é viável.

O estudo ressaltou que acessórios comprometidos podem ser explorados para rastreamento no mundo real. Alguns dispositivos Bluetooth integram a rede Encontre Meu Dispositivo do Google, que usa celulares Android próximos para atualizar a localização de acessórios perdidos. Se um acessório nunca foi emparelhado com um dispositivo Android, um invasor pode vinculá-lo à sua própria conta do Google, inscrevendo-o efetivamente na rede. Assim, conforme a vítima utiliza o acessório, o invasor recebe atualizações periódicas de localização. Alarmantemente, os usuários podem receber alertas de rastreamento confusos, mostrando seu próprio dispositivo como origem, levando muitos a ignorar os avisos, considerando-os erros.

Dispositivos afetados

Dispositivos testados e considerados vulneráveis incluem:

- WH-1000XM6 (Sony)
- Pixel Buds Pro 2 (Google)
- OnePlus Nord Buds 3 Pro (OnePlus)
- WH-1000XM5 (Sony)
- WH-CH720N (Sony)
- WF-1000XM5 (Sony)
- WH-1000XM4 (Sony)
- Nothing Ear (a) (Nothing)
- JBL Tune Beam (JBL)
- Redmi Buds 5 Pro (Xiaomi)
- Motif II ANC (Marshall)
- soundcore Liberty 4 NC (Anker)
- Jabra Elite 8 Active (Jabra)

Dispositivos que não foram considerados vulneráveis:

- Sonos Ace (Sonos)
- ATH-M20xBT (Audio-Technica)
- JBL Flip 6 (JBL)
- Jabra Speak2 55 UC (Jabra)
- Bose QC Ultra Headphones (Bose)
- Poly VFree 60 Series (Poly)
- Beosound A1 2nd Gen (Bang & Olufsen)
- Beats Solo Buds (Apple)

A vulnerabilidade WhisperPair foi divulgada de forma responsável ao Google em agosto de 2025 e recebeu a designação CVE-2025-36911. O Google classificou o problema como crítico e concedeu a recompensa máxima de US$ 15.000 por informações obtidas. Um prazo de divulgação coordenado de 150 dias foi estabelecido, permitindo que os fornecedores desenvolvessem e implementassem correções. Embora alguns fabricantes tenham lançado atualizações de firmware, muitos dispositivos vulneráveis permanecem sem correção e expostos.