Размер шрифта:
Уменьшить - Увеличить +
Фон страницы:
Обычный Белый Черный Голубой
Межбуквенный интервал:
Обычный Средний Большой
Изображения:
Включить Выключить
Отключить версию для слабовидящих close
Проект Координационного центра доменов .RU и .РФ
ru
en
Назад
Критическая уязвимость WhisperPair угрожает сотням миллионов Bluetooth-аудиоустройств
#уязвимость
Критическая уязвимость WhisperPair угрожает сотням миллионов Bluetooth-аудиоустройств

Специалисты Группы компьютерной безопасности и промышленной криптографии Католического университета Левена (Бельгия) обнаружили критическую уязвимость протокола Fast Pair корпорации Google. Ее эксплуатация позволяет злоумышленникам установить полный контроль над беспроводными аудиоустройствами, подключаемыми к смартфонам или компьютерам по протоколу Bluetooth. При этом проблема коренится не в компьютерах и смартфонах, и даже не в их операционных системах, а в самих аудиоустройствах. И пользователи iPhone подвержены не меньшему риску, чем пользователи Android-устройств. Уязвимость, получившая идентификатор CVE-2025-36911 и название WhisperPair, угрожает сотням миллионов беспроводных наушников, гарнитур и колонок от ведущих производителей, включая Google, Jabra, JBL, Logitech, Marshall, Nothing, OnePlus, Sony, Soundcore и Xiaomi.

Суть проблемы в том, что спецификация протокола Fast Pair подразумевает, что устройство должно по умолчанию отклонять запросы на сопряжение, если только оно не находится в режиме создания пары по Bluetooth. Но, как выясняется, многие производители по тем или иным причинам не позаботились о реализации соответствующего механизма. В результате злоумышленники, находясь на расстоянии до 14 метров от уязвимого устройства, могут запустить процесс его сопряжения, например, со своим телефоном. Это даст им возможность подслушивать разговоры пользователя.

Кроме того, если Bleutooth-аудиоустройство еще не было сопряжено ни с одним телефоном или компьютером, оно может стать инструментом слежки. Создав пару, киберпреступник сможет добавить его в свою учетную запись Google - и отслеживать перемещения законного владельца. Причем сам владелец получит уведомление об этом через несколько часов или даже дней после того, как слежка будет установлена.
Корпорация Google уже выплатила специалистам бельгийского университета 15 тысяч долларов - максимальную сумму, предусмотренную программой премирования исследователей за обнаружение подобных уязвимостей - и активно работает с производителями над выпуском обновлений безопасности, устраняющих проблему. Однако к настоящему моменту она исправлена далеко не на всех Bluetooth-аудиоустройствах.