WhisperPair: Bluetooth propust omogućava prisluškivanje preko bežičnih slušalica

Vesti, 20.01.2026, 14:30 PM

Bezbednosni istraživači su otkrili ozbiljnu Bluetooth ranjivost koja omogućava hakerima da neprimetno preuzmu kontrolu nad bežičnim slušalicama, bubicama i zvučnicima pretvarajući audio uređaje u alat za prisluškivanje i praćenje.

Propust, nazvan WhisperPair (CVE-2025-36911), otkrili su istraživači iz grupe za računarsku bezbednost i industrijsku kriptografiju (COSIC) na Univerzitetu KU Leven u Belgiji.

Ranjivost pogađa Google-ovu funkciju Fast Pair, popularni mehanizam dizajniran da uparivanje putem Bluetooth-a učini brzim i jednostavnim. Istraživači upozoravaju da je ista ta pogodnost koja je Fast Pair učinila uspešnim sada izložila stotine miliona uređaja ozbiljnim rizicima po privatnost.

Problem nije u pametnim telefonima, već u samim Bluetooth dodacima. Prema navodima istraživača, mnogi proizvođači nisu pravilno implementirali osnovnu bezbednosnu proveru koju zahteva Fast Pair protokol.

U teoriji, Bluetooth dodaci bi trebalo da prihvataju zahteve za uparivanje samo kada su u „režimu uparivanja“. U praksi, mnogi uređaji ignorišu to pravilo, dozvoljavajući neovlašćenim uređajima u blizini da nasilno iniciraju uparivanje, bez ikakvog upozorenja ili interakcije korisnika.

Jednom kada je uređaj uparen, napadač dobija potpunu kontrolu nad dodatkom.

„Da bi započeo Fast Pair proceduru, Seeker (telefon) šalje poruku Provajderu (dodatku) da želi da se upari. Fast Pair specifikacija navodi da, ako dodatak nije u pairing modu, treba da ignoriše takve poruke“, naveli su istraživači.

„Međutim, mnogi uređaji ne sprovode ovu proveru u praksi, što omogućava neovlašćenim uređajima da započnu proces uparivanja. Nakon odgovora ranjivog uređaja, napadač može da dovrši Fast Pair proceduru uspostavljanjem regularnog Bluetooth uparivanja.“

Korišćenjem bilo kog uređaja koji podržava Bluetooth, telefona ili laptopa, napadači mogu da preuzmu ranjive slušalice sa udaljenosti do 14 metara za manje od 15 sekundi.

Nakon povezivanja, istraživači su pokazali da napadači mogu da prisluškuju razgovore preko ugrađenih mikrofona, ubacuju zvuk ili puštaju zvuk na maksimalnoj jačini, prate lokaciju korisnika putem Google Find Hub mreže i zadrže pristup danima pre nego što žrtva primeti bilo šta neobično.

U nekim slučajevima korisnici mogu da dobiju obaveštenja o praćenju koja izgledaju kao da dolaze sa njihovog sopstvenog uređaja, zbog čega lako mogu da ih ignorišu kao grešku.

Istraživači su testirali 17 audio uređaja sa Fast Pair podrškom 10 velikih brendova, uključujući Sony, Jabra, JBL, Marshall, Xiaomi, Nothing, OnePlus, Soundcore, Logitech i Google. Više od dve trećine testiranih uređaja bilo je ranjivo na prisilno uparivanje, a svaki uspešno kompromitovan uređaj omogućio je pristup mikrofonu.

Ranjivost pogađa i korisnike iPhone uređaja, čak i ako nikada nisu posedovali Android telefon, jer se problem nalazi u samim dodacima, a ne u operativnom sistemu.

Google je istraživačima dodelio nagradu od 15.000 dolara, što je maksimalni iznos za otkrivanje greške, i koordinisao sa proizvođačima tokom perioda od 150 dana od otkrivanja greške kako bi se razvile zakrpe.

Kompanija navodi da nije videla dokaze o zloupotrebi u realnom svetu, osim u laboratorijskim testovima.

Iako su neki proizvođači već objavili ispravke, softverske nadogradnje još uvek nisu dostupne za sve pogođene uređaje.

Trenutno je jedina efikasna zaštita instalacija softverskog ažuriranja koje je izdao proizvođač dodatne opreme. Dok se zakrpe ne implementiraju svuda, bezbednosni stručnjaci preporučuju korisnicima da ažuriraju slušalice i bubice putem zvaničnih aplikacija proizvođača, drže pametne telefone ažuriranim, uklone nepoznate ili nekorišćene Bluetooth veze, isključe Bluetooth kada nije potreban, izbegavaju uparivanje na javnim mestima, resetuju i ponovo upare dodatke nakon nadogradnje firmvera.

Za osobe koje rukuju osetljivim podacima, stručnjaci preporučuju korišćenje žičnih audio uređaja dok se ne potvrdi da su zakrpe instalirane.