Peneliti keamanan telah menemukan kerentanan kritis dalam protokol Fast Pair Google yang memungkinkan penyerang membajak aksesori audio Bluetooth, melacak pengguna, dan menguping percakapan mereka.
Cacatnya (dilacak sebagai CVE-2025-36911 dan di-dubbing Pasangan Bisikan) memengaruhi ratusan juta headphone nirkabel, earbud, dan speaker dari berbagai produsen yang mendukung fitur Fast Pair Google. Hal ini berdampak pada pengguna apa pun sistem operasi ponsel cerdasnya karena kelemahannya terletak pada aksesori itu sendiri, artinya pengguna iPhone dengan perangkat Bluetooth yang rentan juga memiliki risiko yang sama.
Peneliti dengan Grup Keamanan Komputer dan Kriptografi Industri KU Leuven yang menemukannya menjelaskan bahwa kerentanan tersebut berasal dari penerapan protokol Fast Pair yang tidak tepat di banyak aksesori audio andalan.
Meskipun spesifikasi Fast Pair menyatakan bahwa perangkat Bluetooth harus mengabaikan permintaan pemasangan saat tidak dalam mode berpasangan, banyak vendor belum menerapkan pemeriksaan ini pada produk mereka, sehingga perangkat yang tidak sah dapat memulai pemasangan tanpa persetujuan atau sepengetahuan pengguna.
“Untuk memulai prosedur Fast Pair, Seeker (telepon) mengirimkan pesan ke Penyedia (aksesori) yang menunjukkan bahwa ia ingin memasangkan. Spesifikasi Fast Pair menyatakan bahwa jika aksesori tidak dalam mode berpasangan, maka harus mengabaikan pesan tersebut,” kata peneliti.
“Namun, banyak perangkat yang gagal menerapkan pemeriksaan ini dalam praktiknya, sehingga memungkinkan perangkat yang tidak sah untuk memulai proses pemasangan. Setelah menerima balasan dari perangkat yang rentan, penyerang dapat menyelesaikan prosedur Pemasangan Cepat dengan membuat pemasangan Bluetooth biasa.”
Penyerang dapat mengeksploitasi kelemahan WhisperPair menggunakan perangkat berkemampuan Bluetooth apa pun (seperti laptop, Raspberry Pi, atau bahkan ponsel) untuk memasangkan secara paksa dengan aksesori rentan dari Google, Jabra, JBL, Logitech, Marshall, Nothing, OnePlus, Sony, Soundcore, dan Xiaomi pada jarak hingga 14 meter dalam hitungan detik dan tanpa interaksi pengguna atau akses fisik.
Setelah dipasangkan, mereka mendapatkan kendali penuh atas perangkat audio, memungkinkan mereka mengeluarkan audio dengan volume tinggi atau menguping percakapan pengguna melalui mikrofon perangkat.
CVE-2025-36911 juga memungkinkan penyerang melacak lokasi korbannya menggunakan jaringan Find Hub Google jika aksesori tersebut belum pernah dipasangkan dengan perangkat Android dengan menambahkan perangkat tersebut ke akun Google mereka sendiri.
“Korban mungkin melihat notifikasi pelacakan yang tidak diinginkan setelah beberapa jam atau hari, namun notifikasi ini akan menampilkan perangkatnya sendiri,” tambah mereka. “Hal ini dapat menyebabkan pengguna mengabaikan peringatan tersebut sebagai bug, sehingga memungkinkan penyerang untuk terus melacak korban untuk jangka waktu yang lama.”
Google memberi para peneliti $15.000, nilai maksimum yang mungkin diberikan, dan bekerja sama dengan produsen untuk merilis patch keamanan selama jangka waktu pengungkapan 150 hari. Namun, mereka mencatat bahwa pembaruan keamanan untuk mengatasi kelemahan ini mungkin belum tersedia untuk semua perangkat yang rentan.
Satu-satunya pertahanan terhadap penyerang yang membajak aksesori Bluetooth berkemampuan Fast Pair yang rentan adalah dengan menginstal pembaruan firmware dari produsen perangkat. Menonaktifkan Fast Pair di ponsel Android tidak mencegah serangan tersebut, karena fitur tersebut tidak dapat dinonaktifkan pada aksesori itu sendiri.
Lembar Cheat Keamanan Rahasia: Dari Sprawl hingga Control
Baik Anda membersihkan kunci lama atau menyetel pagar pembatas untuk kode yang dihasilkan AI, panduan ini membantu tim Anda membangun dengan aman sejak awal.
Dapatkan lembar contekan dan hilangkan dugaan tentang manajemen rahasia.
