WhisperPair: když se pohodlí Bluetooth mění v bezpečnostní problém
Google Fast Pair vznikl s cílem zjednodušit párování Bluetooth příslušenství. Jakmile uživatel otevře krabičku se sluchátky v blízkosti telefonu, systém nabídne rychlé spárování jedním klepnutím. Součástí tohoto procesu je i navázání zařízení na Google účet a u některých produktů možnost pozdějšího dohledání přes síť Find Hub.
Bezdrátová sluchátka dnes bereme jako samozřejmost. Jsou malá, nenápadná a většinou o nich přemýšlíme jen ve chvíli, kdy se vybije baterie. Právě proto je zranitelnost označovaná jako WhisperPair tak znepokojivá. Nejde o exotický útok na okrajové zařízení, ale o problém, který se týká běžně používané technologie Google Fast Pair a potenciálně dopadá na miliony uživatelů.
Důležité je hned na začátku říct, čím WhisperPair není. Nejde o chybu přímo v Androidu, nejde o prolomení šifrování Bluetooth a nejde ani o univerzální zranitelnost všech sluchátek. Jde o systematickou chybu v implementaci Fast Pair u části výrobců, která vznikla kombinací pohodlí, nedůsledného dodržení specifikace a selhání certifikačního procesu.
Jak má Google Fast Pair fungovat
Google Fast Pair vznikl s cílem zjednodušit párování Bluetooth příslušenství. Jakmile uživatel otevře krabičku se sluchátky v blízkosti telefonu, systém nabídne rychlé spárování jedním klepnutím. Součástí tohoto procesu je i navázání zařízení na Google účet a u některých produktů možnost pozdějšího dohledání přes síť Find Hub.
Specifikace Fast Pair přitom obsahuje jasné bezpečnostní pravidlo: pokud není příslušenství v párovacím režimu, má ignorovat pokusy o zahájení Fast Pair procesu. Právě tento krok ale řada zařízení v praxi nekontroluje.
V čem spočívá WhisperPair
Výzkumníci zjistili, že u některých sluchátek lze zahájit Fast Pair proces i v situaci, kdy uživatel žádné párování neprovádí. Útočník v dosahu Bluetooth může vyslat požadavek, na který zařízení odpoví, a následně dokončit běžné Bluetooth párování.
Nejde o teoretický scénář. Testy ukazují, že útok lze provést během několika sekund, bez fyzického přístupu ke sluchátkům a s běžně dostupným hardwarem. Klíčové ale je zdůraznit, že útok nefunguje na všech zařízeních – týká se pouze těch, která Fast Pair implementovala chybně.
Co útočník reálně získá
Po převzetí sluchátek získá útočník nad zařízením kontrolu. To v praxi znamená možnost se k nim připojit, odpojit je od původního uživatele nebo přehrávat zvuk. U části zařízení může být přítomen i přístup k mikrofonu sluchátek, což je důvod, proč se v médiích objevuje pojem „odposlech“.
Z hlediska přesnosti je ale důležité být opatrný. WhisperPair sám o sobě není univerzální nástroj pro tajné nahrávání rozhovorů. Možnost zneužití mikrofonu závisí na konkrétním hardwaru a způsobu, jakým výrobce řeší audio profily. Přesto jde o zásah do integrity zařízení, které má být plně pod kontrolou uživatele.
Sledování přes Find Hub: méně viditelná část problému
Druhá část WhisperPair se týká zařízení, která podporují síť Find Hub. Ta funguje podobně jako jiné crowdsourcované systémy – poloha ztraceného příslušenství se odhaduje pomocí okolních Android zařízení.
Pokud však sluchátka nikdy nebyla spárována s Android telefonem, není u nich nastaven tzv. Owner Account Key. První účet, který tento klíč do zařízení zapíše, je považován za vlastníka. V praxi to znamená, že pokud útočník zařízení přidá ke svému Google účtu dříve než legitimní uživatel, může získat možnost jeho dohledávání.
To neznamená nepřetržité sledování v reálném čase, ale opakované záznamy polohy, které mohou nepřímo odhalovat pohyb uživatele. Upozornění na nežádoucí sledování se sice může objevit, ale často zobrazuje polohu vlastního zařízení oběti, což vede k mylnému dojmu, že jde o chybu systému.
Proč nejde o selhání jednoho výrobce
WhisperPair je problematický především tím, že se netýká jedné značky. Zranitelná zařízení prošla interním testováním výrobců i certifikací Fast Pair ze strany Googlu. To ukazuje na selhání celého řetězce, nikoli jednotlivce.
Jde o typický příklad situace, kdy drobné zlepšení uživatelského komfortu vytvoří bezpečnostní slabinu s nepřiměřeně velkým dopadem.
Odpovědné zveřejnění a opravy
Zranitelnost byla Googlu nahlášena v srpnu 2025 a byla klasifikována jako kritická pod označením CVE-2025-36911. Během dohodnutého období měli výrobci možnost připravit opravy.
Zásadní je jedna věc: oprava není v telefonu, ale ve firmwaru sluchátek. To znamená, že dostupnost aktualizace závisí výhradně na výrobci konkrétního zařízení. Některá sluchátka už opravu dostala, u jiných zatím k dispozici není a u starších modelů se objevit nemusí vůbec.
Co si z WhisperPair odnést
WhisperPair není důkazem, že bychom se měli bát všech Bluetooth zařízení. Je ale jasným připomenutím, že i malé a zdánlivě pasivní doplňky jsou plnohodnotnými počítači s vlastní logikou, pamětí a identitou.
Pokud používáte bezdrátová sluchátka, dává smysl sledovat aktualizace firmwaru a vnímat je se stejnou vážností jako aktualizace telefonu nebo počítače. V tomto případě totiž nejde jen o technický detail, ale o kontrolu nad zařízením, které máte doslova neustále u hlavy.