Falha em protocolo BlueTooth leva a invasão de dispositivo

Falha em protocolo Bluetooth compromete dispositivos

Pesquisadores de segurança da Universidade de Leuven, na Bélgica, identificaram uma vulnerabilidade crítica no protocolo Fast Pair do Google, permitindo a invasores sequestrar acessórios Bluetooth e rastrear usuários. Denominada WhisperPair, a falha afeta diversos dispositivos de áudio sem fio populares, revelando problemas sistêmicos de segurança no design e na certificação do Fast Pair.

O ataque foi descoberto pelos grupos COSIC e DistriNet da universidade. A pesquisa apontou falhas fundamentais na implementação do protocolo Fast Pair em muitos acessórios Bluetooth de ponta, um sistema desenvolvido para facilitar e agilizar o emparelhamento entre dispositivos Android e acessórios como fones de ouvido e caixas de som.

O funcionamento do Google Fast Pair permite que dispositivos Android (Receptores) estabeleçam conexão Bluetooth com acessórios (Fornecedores) por meio de um processo simplificado, incluindo sincronização de conta e descoberta de dispositivos. Contudo, muitos dispositivos não verificam se estão em modo de emparelhamento antes de responder a uma solicitação, o que possibilita que invasores simulem uma conexão legítima e forcem o emparelhamento sem o consentimento do usuário.

Após o emparelhamento, o atacante pode controlar totalmente o acessório, reproduzindo áudio em volume máximo ou, mais preocupantemente, gravando áudio pelo microfone do dispositivo. Em testes de laboratório, o ataque foi realizado com sucesso em média em 10 segundos, a distâncias de até 14 metros, utilizando apenas hardware padrão Bluetooth, como telefones ou laptops, sem necessidade de acesso físico ao dispositivo da vítima.

A possibilidade de rastreamento de localização também foi destacada no estudo. Alguns dispositivos Bluetooth se conectam à rede Encontre Meu Dispositivo do Google, que utiliza celulares Android próximos para atualizar a localização de acessórios perdidos. Se um acessório não foi pareado anteriormente com um dispositivo Android, um invasor pode ligá-lo à sua própria conta do Google, inscrevendo-o na rede. Assim, enquanto a vítima utiliza o acessório, o invasor recebe atualizações periódicas de localização através da rede, podendo confundir o usuário com alertas atrasados e ambíguos, que parecem originar de seu próprio dispositivo.

Dispositivos testados pelos pesquisadores

Dispositivos afetados:

- WH-1000XM6 (Sony)
- Pixel Buds Pro 2 (Google)
- OnePlus Nord Buds 3 Pro (OnePlus)
- WH-1000XM5 (Sony)
- WH-CH720N (Sony)
- WF-1000XM5 (Sony)
- WH-1000XM4 (Sony)
- Nothing Ear (a) (Nothing)
- JBL Tune Beam (JBL)
- Redmi Buds 5 Pro (Xiaomi)
- Motif II ANC (Marshall)
- soundcore Liberty 4 NC (Anker)
- Jabra Elite 8 Active (Jabra)

Dispositivos não considerados vulneráveis:

- Sonos Ace (Sonos)
- ATH-M20xBT (Audio-Technica)
- JBL Flip 6 (JBL)
- Jabra Speak2 55 UC (Jabra)
- Bose QC Ultra Headphones (Bose)
- Poly VFree 60 Series (Poly)
- Beosound A1 2nd Gen (Bang & Olufsen)
- Beats Solo Buds (Apple)

A vulnerabilidade WhisperPair foi reportada de forma responsável ao Google em agosto de 2025 e recebeu a designação CVE-2025-36911. O Google classificou o problema como crítico e concedeu a recompensa máxima de US$ 15.000 por informações sobre a falha. Um prazo de divulgação coordenado de 150 dias foi acordado, permitindo que os fornecedores desenvolvessem e implementassem correções. Apesar de algumas atualizações de firmware terem sido lançadas, muitos dispositivos vulneráveis ainda permanecem sem solução e expostos.