Pesquisadores de segurança descobriram uma vulnerabilidade chamada WhisperPair em 17 dispositivos de áudio que usam o protocolo Google Fast Pair, permitindo que hackers acessem microfones e rastreiem locais dentro do alcance Bluetooth. A falha afeta produtos de 10 fabricantes, incluindo Sony e Google, e decorre de uma implementação inadequada do padrão de pareamento. O Google colaborou com os pesquisadores para resolver o problema, embora correções completas dependam de parceiros de hardware.
Uma equipe de pesquisadores da Universidade KU Leuven, na Bélgica, revelou a vulnerabilidade WhisperPair em 15 de janeiro de 2026, afetando 17 modelos de fones de ouvido e alto-falantes certificados para o protocolo Google Fast Pair. Esse recurso de pareamento com um toque, projetado para simplificar conexões Bluetooth, foi implementado incorretamente por alguns parceiros de hardware, permitindo pareamentos não autorizados mesmo fora do modo de pareamento. O ataque requer que um hacker esteja no alcance Bluetooth — até 14 metros — e conheça o número do modelo do dispositivo, que é fácil de obter. Leva uma mediana de 10 segundos, ou menos de 15 em alguns casos, para sequestrar o dispositivo. Como explicou o pesquisador da KU Leuven Sayon Duttagupta à Wired: «Você está andando na rua com seus fones de ouvido, ouvindo música. Em menos de 15 segundos, podemos sequestrar seu dispositivo. O que significa que posso ligar o microfone e ouvir o som ambiente. Posso injetar áudio. Posso rastrear sua localização.» Uma vez conectado, os atacantes podem interromper fluxos de áudio, reproduzir seus próprios sons, espionar pelo microfone ou usar o Find Hub do Google para rastrear a localização do dispositivo. A vulnerabilidade se aplica mesmo a usuários não Android se o dispositivo não estiver vinculado a uma conta Google, permitindo potencialmente que hackers o vinculem à própria conta. Os pesquisadores notificaram o Google em agosto de 2025, iniciando colaboração por meio do Programa de Recompensas por Vulnerabilidades da empresa. O Google forneceu correções aos parceiros em setembro de 2025 e atualizou sua rede Find Hub, mas a equipe encontrou rapidamente uma solução alternativa. Um porta-voz do Google afirmou: «Agradecemos a colaboração com pesquisadores de segurança... Trabalhamos com esses pesquisadores para corrigir essas vulnerabilidades, e não vimos evidências de exploração fora do ambiente de laboratório deste relatório. Como melhor prática de segurança, recomendamos que os usuários verifiquem se seus fones de ouvido têm as atualizações de firmware mais recentes.» Fabricantes afetados incluem Sony, Jabra, JBL, Marshall, Xiaomi, Nothing, OnePlus, Soundcore, Logitech e Google. Os Pixel Buds do Google receberam patches, enquanto a OnePlus está investigando. A falha não pode ser desativada, e muitos usuários podem permanecer vulneráveis sem instalar apps dos fabricantes para atualizações. Os pesquisadores aconselham verificações regulares de firmware e reset de fábrica se houver suspeita de comprometimento, notando que não há exploits reais conhecidos até o momento.
