| 15 января 2026 г. — 7:15 PT
Протокол Google Fast Pair обеспечивает одно из лучших Bluetooth-соединений, которое вы можете найти сегодня, автоматически сопрягая беспроводные наушники, колонки и другие аксессуары, а также обмениваясь этими данными в вашей учетной записи. К сожалению, новая статья выявляет некоторые довольно серьезные проблемы безопасности некоторых устройств Fast Pair, и вам потребуется индивидуально обновить каждый ваш гаджет, чтобы устранить их.
Исследователи из Бельгийского университета KU Leuven опубликовали свои выводы о группе уязвимостей Fast Pair, которые они назвали WhisperPair. Эти уязвимости были впервые сообщены Google еще в августе 2025 года, после чего эти проблемы были помечены как критические и им был предоставлен 150-дневный срок для раскрытия информации, чтобы обеспечить максимальную безопасность пользователей. Хотя кажется, что большинство пользователей в данный момент не подвержены риску WhisperPair, стоит узнать, как это работает.
Через WhisperPair злоумышленники могут использовать любое устройство с поддержкой Bluetooth — от ноутбука до Raspberry Pi — для нацеливания на уязвимое устройство, удаленно осуществляя сопряжение без необходимости физического взаимодействия с вашим телефоном, наушниками или чем-либо еще. Уязвимость безопасности возникает из-за того, что аксессуары пропускают важный этап процесса сопряжения: определение того, находится ли продукт активно в режиме сопряжения. Если эта проверка не включена в программное обеспечение продукта, хакеры могут удаленно начать сопряжение с продуктом, и единственным признаком для пользователя будет потенциальное уведомление о «нежелательном отслеживании», которое, к сожалению, указывает собственное устройство пользователя как источник.
Недостаток заключается в том, что многие аксессуары не выполняют критический шаг в процессе сопряжения. Для начала процедуры Fast Pair, Искатель (телефон) отправляет сообщение Поставщику (аксессуару) с указанием, что он хочет выполнить сопряжение. Спецификация Fast Pair гласит, что если аксессуар не находится в режиме сопряжения, он должен игнорировать такие сообщения. Однако на практике многие устройства не выполняют эту проверку, позволяя неуполномоченным устройствам начать процесс сопряжения. Получив ответ от уязвимого устройства, злоумышленник может завершить процедуру Fast Pair, установив обычное Bluetooth-соединение.
Не все аксессуары Fast Pair могут быть скомпрометированы этими методами, но те, которые уязвимы, предоставляют потенциальному хакеру множество возможностей для действий. Отслеживание местоположения через Find Hub, прерывание воспроизведения звука, а также запись телефонных звонков и окружающего звука — это лишь некоторые из угроз, с которыми сталкиваются затронутые устройства. Эти риски распространяются не только на Android, но и на iOS, поскольку нацеливается именно аксессуар с поддержкой Fast Pair, а не ваш конкретный телефон.
Среди продуктов, в настоящее время перечисленных в списке затронутых устройств WhisperPair, — наушники Sony WH-1000XM6 (а также их два предшественника, XM5 и XM4, и аналогичные модели наушников Sony), Nothing Ear (a), OnePlus Nord Buds 3 Pro и собственные Pixel Buds Pro 2 от Google.
Официальный сайт WhisperPair, а также подробный отчет от Wired, глубже раскрывают, как все это работает, и я определенно рекомендую ознакомиться с обоими, если вы обеспокоены своими аксессуарами, совместимыми с Fast Pair. А пока исследователи советуют обновлять гаджеты с поддержкой Fast Pair любыми доступными патчами, поскольку у конечных пользователей нет реальной возможности отключить эту функцию самостоятельно.