Felfedezték a Google Fast Pair legújabb sebezhetőségét, amelyen keresztül a támadók átvehetik az irányítást a Bluetooth-eszközök felett. A WhisperPair névre keresztelt hiba milliókat érinthet, köztük a legnépszerűbb márkák felhasználóit is.
Új, aggasztó biztonsági résre bukkantak a kiberbiztonsági kutatók, amely kifejezetten a Google Fast Pair (GFP) technológiát használó eszközöket veszi célba. A belga KU Leuven egyetem szakértői által feltárt, „WhisperPair” névre keresztelt sebezhetőség lehetővé teszi, hogy a támadók a fizikai közelséget kihasználva titokban csatlakozzanak mások fülhallgatóihoz, hangszóróihoz, és akár le is hallgassák azokat. A hiba nem kíméli a piacvezető márkákat sem: a Sony, a JBL és még a Google saját Pixel Buds eszközei is érintettek voltak a felfedezés pillanatában.
Mi az a Google Fast Pair, és miért szeretjük?
Mielőtt mélyebben beleásnánk magunkat a technikai részletekbe, érdemes tisztázni, mi is az a technológia, amely most célkeresztbe került. A Google Fast Pair Service (GFPS) a Google válasza az Apple ökoszisztémájában már megszokott, zökkenőmentes párosítási folyamatra. A technológia a Bluetooth Low Energy (BLE) szabványt használja arra, hogy a telefonunk automatikusan felismerje a közelben lévő, párosítási módban lévő kiegészítőket.
A gyakorlatban ez azt jelenti, hogy amikor kinyitjuk az új fülhallgatónk tokját, a telefonunk képernyőjén azonnal felugrik egy értesítés a csatlakozásra. Nem kell a beállításokban turkálni, kódokat beírni vagy perceket várni. A kényelem azonban, mint oly sokszor az informatika történetében, most is a biztonság rovására ment. A Fast Pair célja a felhasználói élmény maximalizálása volt, de a kutatók szerint a protokoll implementációjába súlyos hiba csúszott.
A technológiai háttér: így működik a támadás
A WhisperPair támadás lényege a Bluetooth-kapcsolatok felépítésének egy specifikus szakaszában rejlik. A modern Bluetooth-eszközök gyakran kétféle szabványt használnak párhuzamosan: a klasszikus Bluetooth-t (BR/EDR) a hangátvitelhez, és a Bluetooth Low Energy-t (BLE) az energiatakarékos kommunikációhoz és a felderítéshez. A Google Fast Pair éppen ezt a kettősséget hidalja át, hogy gyorsítsa a folyamatot.
A KU Leuven kutatói rájöttek, hogy a Fast Pair protokoll bizonyos esetekben nem végzi el megfelelően a hitelesítést a két eszköz között. A támadás menete a következő lépésekből áll:
- Felderítés: A támadó egy Bluetooth-képes eszközzel (akár egy egyszerű laptoppal vagy okostelefonnal) pásztázza a környezetet, keresve a Fast Pair-képes eszközöket.
- Azonosítás: A sebezhetőség kihasználásához a támadónak ismernie kell az eszköz modellazonosítóját (Model ID), amelyet a készülék sugároz magáról, vagy könnyen kikövetkeztethető.
- A kulcsfeltörés: A legkritikusabb pont az úgynevezett Identity Resolving Key (IRK) kezelése. A WhisperPair támadás során a hacker képes manipulálni vagy megkerülni ezt a kulcscserét.
- Beékelődés: Ha a támadás sikeres, a hacker eszköze úgy viselkedik, mintha a jogos tulajdonos telefonja lenne, vagy egy új, megbízható forrás.
A legnagyobb probléma, hogy ez a folyamat a felhasználó számára teljesen láthatatlan maradhat. Nem ugrik fel figyelmeztető ablak, nem szakad meg a zene – egyszerűen csak egy harmadik fél is „bekapcsolódik” a vonalba.
A hatások: mit kockáztat a felhasználó?
A WhisperPair nem csupán elméleti fenyegetés; a gyakorlati következményei súlyosak lehetnek a magánszférára nézve. A támadók többféle módon is visszaélhetnek a megszerzett hozzáféréssel.
Az első és legnyilvánvalóbb kockázat a lehallgatás. Ha a fülhallgató mikrofonja aktív (például telefonhívás közben), a támadó rögzítheti a beszélgetést. Bár a Bluetooth hatótávolsága korlátozott, egy zsúfolt kávézóban, tömegközlekedési eszközön vagy irodában a támadó könnyedén észrevétlen maradhat a 10-15 méteres sugarú körön belül.
A második veszélyforrás az adatinjektálás. A hacker képes lehet saját hanganyagot lejátszani a felhasználó fülhallgatóján. Ez elsőre talán csak bosszantó tréfának tűnik, de képzeljük el azt a szituációt, amikor egy vállalati vezetőnek hamis hangüzenetet játszanak be egy kritikus pillanatban.
Végül, de nem utolsósorban, a nyomkövetés is valós veszély. Ha a támadó sikeresen párosítja saját fiókjához az eszközt (anélkül, hogy a tulajdonos tudna róla), a Google „Készülékkereső” (Find My Device) hálózata segítségével követheti az áldozat mozgását, még akkor is, ha a támadó már nincs Bluetooth-távolságon belül.
Adatok és érintett eszközök
A kutatás során 17 különböző eszközt vizsgáltak meg, és az eredmények lesújtóak voltak. A legnépszerűbb gyártók termékei is elbuktak a teszteken. Az alábbi táblázat összefoglalja a sebezhetőség legfontosabb technikai paramétereit és az érintett gyártókat.
| Kategória | Részletek |
|---|---|
| Sebezhetőség neve | WhisperPair |
| Érintett protokoll | Google Fast Pair (Bluetooth Low Energy alapú párosítás) |
| Támadási hatótáv | kb. 10–15 méter (Bluetooth hatótáv) |
| Érintett gyártók | Sony, JBL, Jabra, Marshall, Xiaomi, Nothing, OnePlus, Soundcore, Logitech, Google |
| Kockázati besorolás | Magas (Privacy violation / Man-in-the-Middle) |
| Javítás státusza | Google Pixel Buds: Javítva / Többi gyártó: Folyamatban |
Magyarországi vonatkozás
A hír különösen releváns a magyar felhasználók számára, hiszen az érintett márkák dominálják a hazai audio-kiegészítő piacot. A nagy elektronikai áruházláncok (MediaMarkt, Euronics) és webshopok (Alza, eMAG) eladási listáit évek óta a JBL, a Sony és a Xiaomi termékei vezetik. Magyarországon rengetegen használnak androidos okostelefont – a piaci részesedésük 80% körül mozog –, így a Google Fast Pair funkció is rendkívül elterjedt.
A hazai kiberbiztonsági helyzetképben is egyre hangsúlyosabbak az okoseszközöket célzó támadások. A Nemzeti Kibervédelmi Intézet (NKI) és más szakmai fórumok rendszeresen figyelmeztetnek a Bluetooth-eszközök helyes használatára. Bár a WhisperPair egy új felfedezés, illeszkedik abba a trendbe, amelyet a szakértők 2026-ra jósoltak: a támadók egyre inkább az egyéneket és a személyes IoT (Internet of Things) eszközeiket célozzák meg a nagyvállalati rendszerek helyett vagy mellett.
Mi a teendő? A megoldás és a kilátások
A jó hír az, hogy a probléma szoftveres úton orvosolható. A Google szóvivője szerint a saját gyártású Pixel Buds fülhallgatókra már kiadták a javítást, amely automatikusan települ, ha az eszköz csatlakozik a telefonhoz. A többi gyártó esetében a helyzet bonyolultabb: a Sony, a JBL és a többi partnercégnek saját magának kell elkészítenie és terítenie a firmware-frissítéseket.
Amíg a végleges javítás meg nem érkezik, a szakértők az alábbi óvintézkedéseket javasolják a felhasználóknak:
- Bluetooth kikapcsolása: Ha nem használjuk az eszközt, kapcsoljuk ki a Bluetooth-t a telefonunkon. Ez a legbiztosabb védelem minden vezeték nélküli támadás ellen.
- Párosítás törlése: Ha furcsa működést tapasztalunk, vagy nyilvános helyen voltunk, érdemes törölni a párosítást (Unpair/Forget device), és otthoni, biztonságos környezetben újra párosítani az eszközt.
- Firmware frissítése: Rendszeresen ellenőrizzük a fülhallgatóhoz tartozó alkalmazásban (pl. Sony Headphones Connect, JBL Headphones), hogy elérhető-e új szoftververzió.
A WhisperPair eset rámutat arra, hogy a kényelmi funkciók gyakran rejtenek láthatatlan kockázatokat. A jövőben várhatóan szigorúbb szabványok szabályozzák majd a vezeték nélküli párosítási folyamatokat, de addig is a felhasználói tudatosság a legfontosabb védvonal.
