Peneliti keamanan telah menemukan kerentanan bernama WhisperPair pada 17 perangkat audio yang menggunakan protokol Google Fast Pair, memungkinkan hacker mengakses mikrofon dan melacak lokasi dalam jangkauan Bluetooth. Kelemahan ini memengaruhi produk dari 10 produsen, termasuk Sony dan Google, dan berasal dari implementasi standar pairing yang tidak tepat. Google telah bekerja sama dengan peneliti untuk mengatasi masalah ini, meskipun perbaikan penuh bergantung pada mitra perangkat keras.
Tim peneliti dari Universitas KU Leuven di Belgia mengungkap kerentanan WhisperPair pada 15 Januari 2026, yang memengaruhi 17 model headphone dan speaker yang disertifikasi untuk protokol Google Fast Pair. Fitur pairing satu ketukan ini, yang dirancang untuk menyederhanakan koneksi Bluetooth, telah diimplementasikan secara tidak tepat oleh beberapa mitra perangkat keras, memungkinkan pairing tidak sah bahkan di luar mode pairing. Serangan memerlukan hacker berada dalam jangkauan Bluetooth—hingga 14 meter—dan mengetahui nomor model perangkat, yang mudah didapat. Dibutuhkan median 10 detik, atau kurang dari 15 dalam beberapa kasus, untuk membajak perangkat. Seperti yang dijelaskan peneliti KU Leuven Sayon Duttagupta kepada Wired, «Anda sedang berjalan di jalan dengan headphone Anda, mendengarkan musik. Dalam waktu kurang dari 15 detik, kami bisa membajak perangkat Anda. Yang berarti saya bisa menyalakan mikrofon dan mendengarkan suara sekitar Anda. Saya bisa menyuntikkan audio. Saya bisa melacak lokasi Anda.» Setelah terhubung, penyerang dapat mengganggu aliran audio, memainkan suara mereka sendiri, menguping melalui mikrofon, atau menggunakan Find Hub Google untuk melacak lokasi perangkat. Kerentanan ini berlaku bahkan untuk pengguna non-Android jika perangkat belum terkait dengan akun Google, berpotensi memungkinkan hacker mengikatnya ke akun mereka sendiri. Peneliti memberi tahu Google pada Agustus 2025, memicu kolaborasi melalui Program Hadiah Kerentanan perusahaan. Google memberikan perbaikan kepada mitra pada September 2025 dan memperbarui jaringan Find Hub, tetapi tim segera menemukan celah. Juru bicara Google menyatakan, «Kami menghargai kolaborasi dengan peneliti keamanan... Kami bekerja dengan peneliti ini untuk memperbaiki kerentanan ini, dan kami belum melihat bukti eksploitasi di luar pengaturan lab laporan ini. Sebagai praktik keamanan terbaik, kami sarankan pengguna memeriksa headphone mereka untuk pembaruan firmware terbaru.» Produsen yang terkena termasuk Sony, Jabra, JBL, Marshall, Xiaomi, Nothing, OnePlus, Soundcore, Logitech, dan Google. Pixel Buds Google telah menerima patch, sementara OnePlus sedang menyelidiki. Kelemahan ini tidak bisa dinonaktifkan, dan banyak pengguna mungkin tetap rentan tanpa menginstal app produsen untuk pembaruan. Peneliti menyarankan pemeriksaan firmware rutin dan reset pabrik jika dicurigai kompromi, mencatat tidak ada eksploitasi dunia nyata yang diketahui hingga saat ini.
