Falha crítica comum deixa hackers invadirem fones Bluetooth e ouvir conversas

Pesquisadores de segurança da Universidade Católica de Leuven descobriram uma vulnerabilidade crítica no protocolo Fast Pair, da Google, que permite o sequestro de acessórios de áudio Bluetooth com facilidade: assim, atacantes conseguem rastrear usuários, ouvir suas conversas e mais.

• O que é uma vulnerabilidade de dia zero (Zero-Day)?
• O que é Bluetooth? Saiba como ele funciona

Chamada de WhisperPair, a falha recebeu o número CVE-2025-36911 para monitoramento. Ela afeta centenas de milhões de fones wireless, bem como microfones, de fabricantes que têm suporte ao Google Fast Pair. Não importa o smartphone que o usuário utilize, já que a vulnerabilidade está no próprio acessório. Mesmo quem usa iPhone fica sujeito à falha através do Bluetooth.

WhisperPair e a vulnerabilidade

O Canaltech está no WhatsApp!Entre no canal e acompanhe notícias e dicas de tecnologia

WhatsApp

Segundo os pesquisadores, o problema está na má implementação do protocolo em acessórios de áudio. Especificações do Fast Pair dizem que dispositivos Bluetooth devem ignorar pedidos de pareamento quando não estão nesse modo, mas diversas fabricantes não implementaram essa checagem rigorosamente, permitindo que aparelhos não autorizados conectem sem o consentimento ou sequer conhecimento do usuário.

Para começar o procedimento Fast Pair, um Requerente (um telefone) envia uma mensagem a um Provedor (um acessório) indicando a intenção de pareamento. Basta que o dispositivo esteja ao alcance para que um agente malicioso conecte a partir de qualquer aparelho com Bluetooth, como um notebook, celular ou Raspberry Pi.

Marcas afetadas incluem Google, Jabra, JBL, Logitech, Marshall, Nothing, OnePlus, Sony, Soundcore e Xiaomi, que podem ser acessadas de até 14 metros de distância dentro de segundos, sem interação do usuário ou acesso físico.

Depois de conectar, hackers tomam total controle do dispositivo, permitindo tocar música em volume altíssimo, ouvir conversas através do microfone ou saber a localização da vítima: neste caso, é usada a rede “Localizador” da Google, caso o acessório não tenha sido adicionado à Conta Google do usuário. A vítima vê uma notificação de monitoramento, mas, como ela mostra sua própria localização, acredita que é um bug e ignora, dando o dado de bandeja a atacantes.

A Google, após ser notificada, premiou os pesquisadores com US$ 15.000 (cerca de R$ 80 mil), maior recompensa possível, e trabalhou com as fabricantes para lançar correções. Nem toda atualização de segurança corrigindo o problema está disponível para todos os dispositivos automaticamente: a única defesa é instalar atualizações de firmware das fabricantes. Desabilitar o Fast Pair nos celulares não impede o ataque, já que a ferramenta não pode ser desativada no próprio acessório.

Leia também:

• Hackers exploram falha em plugin do Wordpress para acessar sites vulneráveis
• Ciberataques ameaçam Olimpíadas de Inverno na Itália
• Hackers atacam app de alimentação em busca de dados para extorsão

VÍDEO | Bluetooth 6.0 em 2025 fará alguma diferença no seu próximo smartphone ou fone de ouvido sem fio?

Fonte: WhisperPair