WhisperPair: o breșă în Fast Pair care poate lăsa pe altcineva să-ți „fure” conexiunea la căști sau boxe Bluetooth, fără să-ți dai seama

Căștile true wireless, headseturile over-ear și boxele portabile au devenit atât de „instant” la conectare, încât mulți nici nu mai observă procesul. Deschizi carcasa, apare notificarea, atingi o dată și gata. Doar că exact această comoditate are acum un revers neplăcut: cercetători de la KU Leuven au arătat că o parte considerabilă din accesoriile compatibile cu Google Fast Pair pot fi preluate de un atacator aflat în apropiere, fără ca tu să apeși vreun buton de împerechere.

Problema a fost botezată „WhisperPair” și ține mai puțin de Bluetooth ca standard și mai mult de felul în care unii producători au implementat specificația Fast Pair: accesoriul ar trebui să accepte cereri noi de pairing doar când este pus intenționat în modul de împerechere, dar în practică multe modele acceptă cereri „din mers”, inclusiv când sunt deja folosite.

Cum funcționează Fast Pair și unde se rupe lanțul de securitate

Fast Pair este, pe scurt, o „scurtătură” care face asocierea dintre telefon și accesoriu aproape fără fricțiune: dispozitivul audio emite semnale Bluetooth Low Energy, telefonul îl recunoaște rapid, iar configurarea e accelerată inclusiv prin verificări în cloud. Totul sună ideal la nivel de experiență, iar tehnologia a ajuns în foarte multe produse, de la căști la boxe.

Doar că, în designul Fast Pair, o parte esențială a siguranței rămâne pe umerii producătorului accesoriului: acesta trebuie să verifice dacă e permis pairing-ul în acel moment (adică dacă utilizatorul a intrat explicit în modul de împerechere). Cercetătorii au găsit cazuri în care această verificare fie lipsește, fie e incompletă, iar rezultatul e simplu: un atacator aflat în raza Bluetooth poate iniția o asociere „din umbră”, fără să atingi accesoriul.

Vezi și:

Ce salariu are un procuror DNA în 2026. Cum este format venitul lunar al unui magistrat din cadrul Direcției

Și mai incomod: dezactivarea Fast Pair pe telefon nu rezolvă miezul problemei, fiindcă vulnerabilitatea e în accesoriul care acceptă cererea neautorizată. Cu alte cuvinte, dacă dispozitivul audio „spune da” la pairing oricând, setările din telefon sunt doar un pansament.

Ce poate face un atacator și de ce problema e mai mare decât un „troll audio”

În scenariul clasic, „hijack” înseamnă că cineva îți poate întrerupe sunetul, poate injecta audio (da, inclusiv să-ți bage reclame sau „glume” în căști) sau îți poate manipula volumul. În funcție de model, există și riscul mai sensibil: activarea microfonului sau folosirea căștilor ca poartă de acces pentru ascultare neautorizată. Cercetătorii subliniază că nu e nevoie de echipamente exotice; un laptop sau un telefon aflat aproape poate fi suficient.

Partea care ridică miza ține de integrarea cu rețeaua de localizare Google (ecosistemul Find My Device). Dacă un atacator reușește să se asocieze cu accesoriul înaintea ta (sau înainte ca el să fie legat de un cont), ar putea încerca să-l înregistreze la propriul cont și să primească actualizări de localizare pe măsură ce accesoriul se mișcă prin preajma telefoanelor Android din jur. Aici nu mai vorbim doar despre o farsă audio, ci despre un vector de urmărire.

Vezi și:

Cele mai bune boxe pentru petrecerile în aer liber. Cum alegi modelul potrivit pentru vară, plajă, grătar sau camping

Cum a apărut tehnologia Bluetooth: Povestea regelui viking și a numelui provenit din istoria Scandinaviei

Contextul e cu atât mai important cu cât rețelele de tip „find my” sunt construite tocmai ca să te ajute să găsești obiecte pierdute. Când însă mecanismul de „ownership” poate fi deturnat printr-o asociere neautorizată, beneficiul se poate întoarce împotriva ta, mai ales dacă ai accesorii pe care nu le actualizezi niciodată sau pe care le folosești alternativ cu Android și iPhone.

Ce ai de făcut acum: pași concreți pentru a reduce riscul

În primul rând, tratează firmware-ul la fel de serios ca update-urile de pe telefon. Dacă ai căști sau boxe care primesc actualizări, intră în aplicația producătorului și caută explicit secțiunea de update (uneori e ascunsă în „About”, „Device details” sau „Support”). Exact aici e problema practică: multe accesorii ieftine nu primesc update-uri deloc, iar altele le primesc doar prin aplicații pe care nu le deschizi niciodată.

Apoi, fă-ți un obicei din a verifica dacă accesoriul intră în pairing mode doar când vrei tu. Dacă observi că îți apare frecvent ca „disponibil de împerechere” pe dispozitive din jur fără să fi apăsat butonul, consideră-l un semn rău. Când e posibil, limitează expunerea în spații aglomerate: în aeroporturi, trenuri, coworking sau cafenele, raza Bluetooth devine un teren realist pentru atacuri oportuniste.

Dacă folosești accesorii cu funcții de localizare, uită-te atent în aplicațiile asociate (Google sau aplicația brandului) la ce dispozitive sunt legate de cont și elimină orice asociere suspectă. Pe zona asta, diferența dintre un produs „ieftin și bun” și unul „ieftin și riscant” se vede abia după câteva luni, când apare (sau nu apare) primul update de securitate.

Nu în ultimul rând, ține minte că „funcțiile smart” depind mult de implementarea fiecărui producător. Când cumperi un accesoriu nou, caută semne clare că producătorul livrează update-uri pe termen lung și că are aplicație întreținută, nu doar o soluție aruncată pe piață.

În paralel, Google spune că lucrează cu producătorii la remedieri și că update-urile încep să apară, dar acoperirea e inegală. Asta înseamnă că, pe termen scurt, protecția ta reală vine dintr-un mix simplu: firmware la zi, atenție la comportamentul de pairing și prudență în locuri publice.

Oboseala de automatizare: de ce oamenii resping tool-uri bune după 3 luni