Ваши наушники могут вас прослушивать

Тихий захват

Представьте: вы сидите в кафе, слушаете музыку в наушниках. Рядом за столиком — незнакомец с ноутбуком. Через несколько секунд ваши наушники уже подключены к его устройству. Микрофон включён. Он слышит всё, что происходит вокруг вас. Именно это стало возможным благодаря уязвимости, которую исследователи из бельгийского университета KU Leuven назвали WhisperPair.

Что такое Google Fast Pair и в чём проблема

Google Fast Pair — технология, которая позволяет мгновенно подключать Bluetooth-аксессуары к Android-устройствам одним касанием. Удобно, быстро, без лишних действий. Поддерживается сотнями миллионов наушников, колонок и гарнитур по всему миру. По спецификации Fast Pair, устройство должно принимать новые запросы на сопряжение только тогда, когда пользователь вручную переводит его в режим сопряжения. Это базовое правило безопасности. Проблема в том, что большинство производителей его попросту проигнорировали. Многие устройства принимают новые запросы на подключение в любой момент — даже если аксессуар уже используется и никто не нажимал кнопку сопряжения. Это открывает дверь для атаки.

Как работает WhisperPair

Атака не требует специального оборудования. Достаточно обычного ноутбука, смартфона или даже одноплатного компьютера вроде Raspberry Pi. Радиус действия — до 14 метров. Злоумышленник сканирует пространство в поисках уязвимых Fast Pair-устройств. Найдя цель, он отправляет запрос на сопряжение — и устройство принимает его без какого-либо взаимодействия с владельцем. После этого атакующий получает полный контроль над аксессуаром. Что он может сделать дальше: Включить микрофон и слушать. Получив контроль над наушниками, злоумышленник активирует встроенный микрофон и в реальном времени слышит всё, что происходит рядом с жертвой — разговоры, переговоры, личные беседы. Отслеживать геолокацию. Если жертва никогда не подключала аксессуар к Android-устройству, атакующий может зарегистрировать его на свой Google-аккаунт и отслеживать местоположение через сеть Find Hub. При этом жертва может получить уведомление об отслеживании — но оно будет показывать её собственное устройство, и большинство людей просто примет это за системный сбой. Прерывать воспроизведение, управлять громкостью и совершать другие действия с аксессуаром.

Кто под угрозой

Исследователи протестировали 25 коммерческих устройств от 16 производителей, использующих 17 различных Bluetooth-чипсетов. Уязвимыми оказались продукты десяти крупных брендов: Sony — WH-1000XM4, XM5, XM6 и соответствующие модели наушников-вкладышей Jabra — Elite 8 Active и другие модели JBL, Marshall, Xiaomi, Nothing, OnePlus, Soundcore, Logitech — ряд флагманских моделей Google — собственные Pixel Buds Pro 2 Важный момент: уязвимость касается не только пользователей Android. Поскольку проблема находится в самом аксессуаре, владельцы iPhone с уязвимыми наушниками находятся в равной зоне риска.

Как это не заметили раньше

Это один из самых неудобных вопросов в этой истории. Уязвимость существовала в устройствах, которые прошли проверку качества у производителей и сертификацию самого Google. Никто из них её не обнаружил. Это показывает системный сбой сразу на трёх уровнях: реализации, проверки и сертификации, — констатировали исследователи KU Leuven. Исследователи обнаружили проблему в августе 2025 года и сразу сообщили о ней в Google. Google присвоил уязвимости статус критической (CVE-2025-36911) и выплатил максимальное вознаграждение в $15 000. Затем началось 150-дневное окно скоординированного раскрытия — время, за которое производители должны были выпустить патчи.

Что делать прямо сейчас

Главная и единственная защита — обновление прошивки аксессуара. Отключить Fast Pair на телефоне недостаточно: уязвимость живёт в самом устройстве, и эта опция там недоступна. Что нужно сделать: Откройте приложение производителя (Sony Headphones, Jabra Sound+, JBL Headphones и т.д.) и проверьте наличие обновлений прошивки. Установите их, если доступны. Статус патчей на момент публикации:

• Jabra и Logitech — патчи выпущены
• JBL — патч анонсирован, но ещё не вышел
• Sony и Marshall — официальных комментариев не было

Если обновления для вашего устройства ещё нет — обновите телефон (Google выпустил патч для Pixel-устройств) и следите за новостями от производителя вашего аксессуара.

Google заявил изданию Wired, что «работал с исследователями над устранением этих уязвимостей и не видит доказательств какой-либо реальной эксплуатации за пределами лабораторных условий». Это хорошие новости. Но учитывая, насколько атака проста в исполнении и сколько уязвимых устройств находится в обращении — медлить с обновлением не стоит.