Các nhà nghiên cứu an ninh vừa phát hiện một lỗ hổng nghiêm trọng trong giao thức Google Fast Pair, cho phép kẻ tấn công chiếm quyền điều khiển thiết bị âm thanh Bluetooth, theo dõi người dùng và thậm chí nghe lén các cuộc trò chuyện. Lỗ hổng này được định danh là CVE-2025-36911, còn có tên gọi WhisperPair. Lỗ hổng ảnh hưởng tới hàng trăm triệu tai nghe, earbuds và loa không dây từ nhiều nhà sản xuất khác nhau có hỗ trợ Fast Pair như Google, Jabra, JBL, Logitech, Marshall, Nothing, OnePlus, Sony, Soundcore và Xiaomi, kể cả iPhone nếu sử dụng các thiết bị Bluetooth bị ảnh hưởng.
Theo nhóm nghiên cứu Computer Security and Industrial Cryptography của Đại học KU Leuven, nguyên nhân xuất phát từ việc nhiều nhà sản xuất triển khai Fast Pair không đúng đặc tả. Dù tài liệu kỹ thuật quy định thiết bị Bluetooth phải bỏ qua yêu cầu ghép nối khi không ở chế độ ghép nối, nhưng trên thực tế, nhiều sản phẩm không kiểm tra điều kiện này. Điều đó cho phép thiết bị trái phép khởi động quá trình ghép nối mà người dùng không hề hay biết hay chấp thuận.
Kẻ tấn công chỉ cần một thiết bị có Bluetooth, như laptop, Raspberry Pi hoặc smartphone, để khai thác lỗ hổng này. Trong vòng vài giây, chúng có thể ép ghép nối với các phụ kiện từ các hãng như Google, Jabra, JBL, Logitech, Marshall, Nothing, OnePlus, Sony, Soundcore và Xiaomi, ở khoảng cách lên tới 14 mét, hoàn toàn không cần tương tác hay tiếp cận vật lý từ phía nạn nhân.
Sau khi ghép nối thành công, kẻ tấn công giành được quyền kiểm soát hoàn toàn thiết bị âm thanh. Điều này cho phép chúng phát âm thanh ở mức âm lượng lớn gây quấy rối, hoặc nguy hiểm hơn là nghe lén thông qua microphone tích hợp trên tai nghe hay loa.
Không chỉ dừng lại ở nghe lén, CVE-2025-36911 còn có thể bị lợi dụng để theo dõi vị trí nạn nhân thông qua mạng Google Find Hub, trong trường hợp thiết bị chưa từng được ghép nối với một điện thoại Android. Kẻ tấn công có thể thêm thiết bị đó vào tài khoản Google của mình để theo dõi. Người dùng có thể nhận được thông báo theo dõi sau nhiều giờ hoặc vài ngày, nhưng vì thông báo hiển thị chính thiết bị của họ, nhiều người có thể nhầm tưởng đây chỉ là lỗi hệ thống và bỏ qua, tạo điều kiện cho việc theo dõi kéo dài.
