Falha em dispositivos Google Fast Pair permite que hackers espionem

Pesquisadores de segurança descobriram uma vulnerabilidade chamada WhisperPair em 17 dispositivos de áudio que usam o protocolo Google Fast Pair, permitindo que hackers acessem microfones e rastreiem locais dentro do alcance Bluetooth. A falha afeta produtos de 10 fabricantes, incluindo Sony e Google, e decorre de uma implementação inadequada do padrão de pareamento. O Google colaborou com os pesquisadores para resolver o problema, embora correções completas dependam de parceiros de hardware.

Uma equipe de pesquisadores da Universidade KU Leuven, na Bélgica, revelou a vulnerabilidade WhisperPair em 15 de janeiro de 2026, afetando 17 modelos de fones de ouvido e alto-falantes certificados para o protocolo Google Fast Pair. Esse recurso de pareamento com um toque, projetado para simplificar conexões Bluetooth, foi implementado incorretamente por alguns parceiros de hardware, permitindo pareamentos não autorizados mesmo fora do modo de pareamento. O ataque requer que um hacker esteja no alcance Bluetooth — até 14 metros — e conheça o número do modelo do dispositivo, que é fácil de obter. Leva uma mediana de 10 segundos, ou menos de 15 em alguns casos, para sequestrar o dispositivo. Como explicou o pesquisador da KU Leuven Sayon Duttagupta à Wired: «Você está andando na rua com seus fones de ouvido, ouvindo música. Em menos de 15 segundos, podemos sequestrar seu dispositivo. O que significa que posso ligar o microfone e ouvir o som ambiente. Posso injetar áudio. Posso rastrear sua localização.» Uma vez conectado, os atacantes podem interromper fluxos de áudio, reproduzir seus próprios sons, espionar pelo microfone ou usar o Find Hub do Google para rastrear a localização do dispositivo. A vulnerabilidade se aplica mesmo a usuários não Android se o dispositivo não estiver vinculado a uma conta Google, permitindo potencialmente que hackers o vinculem à própria conta. Os pesquisadores notificaram o Google em agosto de 2025, iniciando colaboração por meio do Programa de Recompensas por Vulnerabilidades da empresa. O Google forneceu correções aos parceiros em setembro de 2025 e atualizou sua rede Find Hub, mas a equipe encontrou rapidamente uma solução alternativa. Um porta-voz do Google afirmou: «Agradecemos a colaboração com pesquisadores de segurança... Trabalhamos com esses pesquisadores para corrigir essas vulnerabilidades, e não vimos evidências de exploração fora do ambiente de laboratório deste relatório. Como melhor prática de segurança, recomendamos que os usuários verifiquem se seus fones de ouvido têm as atualizações de firmware mais recentes.» Fabricantes afetados incluem Sony, Jabra, JBL, Marshall, Xiaomi, Nothing, OnePlus, Soundcore, Logitech e Google. Os Pixel Buds do Google receberam patches, enquanto a OnePlus está investigando. A falha não pode ser desativada, e muitos usuários podem permanecer vulneráveis sem instalar apps dos fabricantes para atualizações. Os pesquisadores aconselham verificações regulares de firmware e reset de fábrica se houver suspeita de comprometimento, notando que não há exploits reais conhecidos até o momento.

Artigos relacionados

Illustration of a person checking their phone for a spoofed call warning on Android, highlighting Google's new deepfake detection feature.
Imagem gerada por IA

Google adds detection for spoofed calls to Android phones

Reportado por IA Imagem gerada por IA

Google is rolling out a new feature to Android devices that detects impersonation scams involving spoofed calls. The update targets the rising threat of AI-generated deepfake voices in financial fraud. It begins deploying this month on phones running Android 12 and higher.

A researcher has shown that the Sound Blaster Katana V2X speaker from Creative Technologies can be used to infect a connected computer with malicious commands over Bluetooth. The attack requires no pairing and works even without physical access to the device.

Reportado por IA

A vulnerability in Google Gemini on Android allowed crafted notifications from apps like WhatsApp and Slack to manipulate the AI's responses and connected tools. The issue, discovered by SafeBreach, has been addressed through server-side changes.

quarta-feira, 17 de junho de 2026, 12:46h

Google rolls out new Android backup and security features

segunda-feira, 25 de maio de 2026, 04:03h

Sennheiser announces momentum 5 wireless headphones

segunda-feira, 25 de maio de 2026, 03:42h

Researchers warn Wi-Fi signals enable tracking without phones

quinta-feira, 07 de maio de 2026, 00:48h

Experts warn Microsoft Phone Link tool exploited by unknown threat

Este site usa cookies

Usamos cookies para análise para melhorar nosso site. Leia nossa política de privacidade para mais informações.
Recusar