Технология Google Fast Pair задумывалась как маленькое чудо повседневной эргономики: никаких меню и паролей, просто поднёс новые наушники к смартфону — и готово. Для пользователей Android и Chrome OS это давно стало нормой. Однако свежие исследования показывают, что именно эта простота сыграла с Fast Pair злую шутку. Те же архитектурные решения, которые делают подключение мгновенным, открывают дорогу для злоупотреблений.
Группа исследователей из KU Leuven — Лёвенского католического университета в Бельгии — обнаружила набор уязвимостей, получивших название WhisperPair. И последствия выглядят куда серьёзнее, чем очередной теоретический баг.
В чём суть уязвимости WhisperPair
По данным исследователей из лаборатории Computer Security and Industrial Cryptography, злоумышленник, находящийся в радиусе Bluetooth — примерно 14–15 метров, — может перехватить управление беспроводными наушниками, гарнитурами и колонками, использующими Fast Pair. Под угрозой оказались устройства как минимум десяти крупных брендов, включая Google, Sony, JBL, Jabra, Xiaomi и OnePlus.
В ходе экспериментов захват происходил менее чем за 15 секунд. После этого атакующий мог транслировать звук, отключать его, принудительно включать воспроизведение на высокой громкости и даже активировать встроенные микрофоны, превращая аксессуар в импровизированное подслушивающее устройство.
Особенно тревожно то, что некоторые модели — прежде всего от Google и Sony — оказались уязвимы ещё и к отслеживанию местоположения через сеть Google Find Hub. Это позволяло наблюдать за перемещениями владельца с высокой точностью.
Как работает атака
Для демонстрации атаки исследователи использовали недорогой Raspberry Pi 4, настроенный на имитацию легитимного запроса на сопряжение. Из 25 протестированных устройств с поддержкой Fast Pair от 16 производителей 17 оказались эксплуатируемыми.
Ключевую роль играет Model ID — уникальный идентификатор модели, который устройство транслирует во время сопряжения. Эти идентификаторы доступны через API Google, а значит, при желании их можно собирать массово. Получив нужный Model ID, злоумышленник может выдать себя за «правильное» устройство и инициировать подключение.
Корень проблемы — в некорректной реализации логики Fast Pair. Согласно спецификации, устройство должно отклонять новые попытки сопряжения, если уже подключено к владельцу. Но на практике многие модели этого не делают. В результате легитимное соединение можно незаметно перезаписать или продублировать — без каких-либо действий со стороны пользователя.
После такого захвата устройство фактически «принадлежит» атакующему до тех пор, пока владелец не выполнит полный сброс к заводским настройкам.
От наушников — к слежке
Ситуацию усугубляет механизм привязки к аккаунту Google. Если гарнитура или наушники никогда не были связаны с Google-аккаунтом — например, использовались только с iPhone, — злоумышленник может насильно зарегистрировать их на свой Google ID. После этого устройство появляется в его списке Find Hub и начинает передавать данные о местоположении.
Даже если жертва получает уведомление о слежке, оно может выглядеть обманчиво: трекер будет обозначен как «собственное устройство», что снижает вероятность своевременной реакции.
Реакция Google и производителей
Google признала выводы KU Leuven и опубликовала официальное раскрытие уязвимости одновременно с отчётом исследователей на сайте WhisperPair.eu. Компания заявила, что сотрудничала с производителями, выпустила патчи для собственного оборудования и обновила Find Hub, чтобы блокировать вредоносные регистрации.
Однако исследователи утверждают, что сумели обойти это исправление в течение нескольких часов, восстановив возможность слежки.
Ответы производителей оказались разрозненными. JBL подтвердила получение патчей и пообещала распространять обновления через мобильное приложение. Xiaomi сообщила о работе над OTA-обновлениями для наушников Redmi. Logitech внедрила исправления в новые партии колонки Wonderboom 4 — у неё, к слову, нет микрофона, поэтому она не может использоваться для прослушки.
Jabra, Marshall и OnePlus признали проблему, хотя в некоторых заявлениях она была спутана с более ранними уязвимостями Bluetooth-чипов.
Главная практическая сложность — доставка обновлений. Большинство пользователей никогда не устанавливают приложения-компаньоны и не обновляют прошивки аудиоаксессуаров. Как отмечает исследователь Сеппе Винс, многие люди даже не подозревают, что для их наушников вообще существуют обновления. Нет приложения — нет уведомления — нет защиты.
Уязвимости, судя по всему, возникли как из-за ошибок производителей, так и на уровне чипсетов. В исследовании упоминаются решения от Actions, Airoha, Bestechnic, MediaTek, Qualcomm и Realtek, но ни один из поставщиков чипов не прокомментировал ситуацию. Xiaomi позже признала, что в её случае проблему усугубили некорректные настройки со стороны поставщика микросхем.
Отдельные вопросы вызывает система сертификации Google Fast Pair. Перед использованием протокола продукт должен пройти проверку через приложение Fast Pair Validator и аккредитованные лаборатории. Все устройства, перечисленные в исследовании KU Leuven, успешно прошли эти проверки — а значит, серьёзные проблемы с безопасностью остались незамеченными.
Google утверждает, что уже добавила новые тесты, специально направленные на проверку соблюдения требований безопасности Fast Pair.
На данный момент рекомендации исследователей просты и не слишком утешительны: устанавливать все доступные обновления прошивок и сбрасывать потенциально уязвимые устройства. В более широком смысле, считают авторы работы, Fast Pair нуждается в переработке — прежде всего в криптографической проверке владения, прежде чем разрешать новое сопряжение.
История WhisperPair — наглядное напоминание: в мире беспроводных технологий удобство без продуманной защиты легко превращается в ахиллесову пяту.
