Το πρωτόκολλο Google Fast Pair σχεδιάστηκε ώστε η ζευγοποίηση μεταξύ συσκευών Android και ασύρματων αξεσουάρ να είναι τόσο απλή όσο το πάτημα ενός κουμπιού. Η ευρεία υιοθέτησή του από μεγάλες εταιρείες ακουστικών, σε συνδυασμό με την ταχύτητα σύνδεσης που προσφέρει, έχει αναμφίβολα διευκολύνει την καθημερινότητα εκατομμυρίων χρηστών. Ωστόσο, πρόσφατη έρευνα του ερευνητικού κέντρου COSIC στο Πανεπιστήμιο KU Leuven αποκάλυψε ότι πολλά προϊόντα δεν υλοποιούν σωστά το Fast Pair. Η ομάδα ονόμασε το σύνολο αυτών των ευπαθειών WhisperPair και προειδοποιεί ότι εκατοντάδες εκατομμύρια ακουστικά, ηχεία και άλλα ασύρματα αξεσουάρ ενδέχεται να είναι εκτεθειμένα.
Τι είναι το WhisperPair
Το WhisperPair εκμεταλλεύεται κενά στην υλοποίηση του Fast Pair σε δημοφιλή ασύρματα αξεσουάρ. Σύμφωνα με τους ερευνητές, πολλά προϊόντα δεν ελέγχουν σωστά αν βρίσκονται σε «λειτουργία ζεύξης» πριν ανταποκριθούν σε αιτήματα σύνδεσης. Το ίδιο το πρωτόκολλο ορίζει ότι το αξεσουάρ οφείλει να αγνοεί τέτοια αιτήματα όταν δεν βρίσκεται σε λειτουργία ζεύξης. Παρ’ όλα αυτά, σε πολλές περιπτώσεις οι συσκευές αποδέχονται το αίτημα και επιτρέπουν στον επιτιθέμενο να ολοκληρώσει τη διαδικασία ζευγοποίησης.
Με αυτόν τον τρόπο, ένας επιτιθέμενος μπορεί να:
Αναλάβει τον έλεγχο του αξεσουάρ: Μετά την επιτυχή σύζευξη, μπορεί να αναπαράγει ήχο σε υψηλή ένταση ή ακόμη και να ενεργοποιήσει το ενσωματωμένο μικρόφωνο για την καταγραφή συνομιλιών.
Ολοκληρώσει την επίθεση σε ελάχιστο χρόνο: Στις δοκιμές των ερευνητών, η επίθεση πραγματοποιήθηκε σε περίπου δέκα δευτερόλεπτα, από απόσταση έως και 14 μέτρων, χωρίς φυσική πρόσβαση στη συσκευή.
Χρησιμοποιήσει κοινό εξοπλισμό: Δεν απαιτείται ειδικός ή εξειδικευμένος εξοπλισμός· ένα απλό κινητό τηλέφωνο, ένας φορητός υπολογιστής ή ένα Raspberry Pi με δυνατότητα Bluetooth είναι αρκετά.
Παρακολούθηση μέσω του δικτύου Find Hub
Πέρα από την παράτυπη ζευγοποίηση, το WhisperPair μπορεί να μετατραπεί και σε εργαλείο παρακολούθησης. Ορισμένα αξεσουάρ υποστηρίζουν το δίκτυο Find Hub της Google, το οποίο αξιοποιεί δεδομένα από χρήστες (crowd-sourced) για τον εντοπισμό χαμένων αντικειμένων. Εάν ένα αξεσουάρ δεν έχει συνδεθεί ποτέ με συσκευή Android, ένας επιτιθέμενος μπορεί να το συνδέσει πρώτος στον δικό του λογαριασμό, προσθέτοντάς το στο Find Hub και αποκτώντας έτσι τη δυνατότητα παρακολούθησης των κινήσεων του θύματος.
Η ειδοποίηση που ενδέχεται να εμφανιστεί μετά από ώρες ή ημέρες θα αναφέρει τη συσκευή του επιτιθέμενου και μπορεί εύκολα να εκληφθεί ως σφάλμα. Η επίθεση βασίζεται στο γεγονός ότι η Android συσκευή αποθηκεύει στο αξεσουάρ ένα λεγόμενο Account Key, το οποίο χρησιμοποιείται για την επιβεβαίωση της ιδιοκτησίας. Αν αυτό το κλειδί προστεθεί από τον επιτιθέμενο, θεωρείται πλέον ο «ιδιοκτήτης» της συσκευής.
Γιατί αφορά όλους – ακόμη και τους χρήστες iPhone
Η λειτουργία Fast Pair είναι ενσωματωμένη στο ίδιο το αξεσουάρ και δεν μπορεί να απενεργοποιηθεί. Επομένως, δεν έχει σημασία αν η συσκευή χρησιμοποιείται με Android, iPhone ή υπολογιστή: το κενό ασφάλειας βρίσκεται στο υλικό του αξεσουάρ. Έτσι, ακόμη και χρήστες iPhone ή Windows παραμένουν ευάλωτοι στο WhisperPair. Οι ερευνητές επισημαίνουν ότι η απλή αποσύνδεση ή η επαναφορά εργοστασιακών ρυθμίσεων δεν επαρκεί, καθώς δεν αντιμετωπίζει τη ρίζα του προβλήματος.
Η έρευνα κατέδειξε ότι το ζήτημα δεν αφορά μεμονωμένες περιπτώσεις. Πολλές συσκευές από διαφορετικούς κατασκευαστές πέρασαν επιτυχώς τα τεστ ποιότητας και πιστοποίησης της Google, παρότι παρέμεναν ευάλωτες. Το γεγονός αυτό υποδεικνύει μια ευρύτερη αλυσίδα αποτυχίας στην υλοποίηση, τη δοκιμή και την πιστοποίηση του πρωτοκόλλου.
Υπεύθυνη γνωστοποίηση και επιδιορθώσεις
Η ομάδα του COSIC ενημέρωσε τη Google τον Αύγουστο του 2025. Η εταιρεία χαρακτήρισε το ζήτημα κρίσιμο και του απέδωσε αναγνωριστικό ευπάθειας (CVE-2025-36911). Οι ερευνητές συμφώνησαν σε ένα παράθυρο υπεύθυνης γνωστοποίησης διάρκειας 150 ημερών, ώστε οι κατασκευαστές να έχουν τον απαραίτητο χρόνο για την ανάπτυξη και διάθεση διορθώσεων. Η Google επιβράβευσε την αναφορά με το ανώτατο ποσό των 15.000 δολαρίων, αναγνωρίζοντας τη σοβαρότητα της απειλής.
Η μόνη ουσιαστική λύση είναι η ενημέρωση του firmware του αξεσουάρ. Παρότι αρκετοί κατασκευαστές έχουν ήδη κυκλοφορήσει διορθώσεις, αυτές δεν είναι ακόμη διαθέσιμες για όλα τα μοντέλα. Οι χρήστες καλούνται να επικοινωνούν με τον κατασκευαστή ή να ελέγχουν την επίσημη ιστοσελίδα του για διαθέσιμες ενημερώσεις. Η απλή ενημέρωση του τηλεφώνου δεν αρκεί· απαιτείται αναβάθμιση του ίδιου του αξεσουάρ.
Τι σημαίνει αυτό για το μέλλον
Η υπόθεση WhisperPair αποτελεί μια ηχηρή υπενθύμιση ότι ακόμη και φαινομενικά μικρές βελτιώσεις στην εμπειρία χρήστη, όπως η αυτόματη και εύκολη ζευγοποίηση, μπορούν να έχουν σοβαρές επιπτώσεις στην ασφάλεια. Οι ερευνητές του COSIC εργάζονται ήδη πάνω σε πρόταση για κρυπτογραφική δέσμευση της πρόθεσης ζεύξης, με στόχο την αποτροπή παρόμοιων προβλημάτων στο μέλλον. Μέχρι να υπάρξει μια τέτοια λύση, οι χρήστες θα πρέπει να παραμένουν ενήμεροι, να ενημερώνουν τα αξεσουάρ τους και να αντιμετωπίζουν με προσοχή τις λειτουργίες αυτοματοποιημένης ζευγοποίησης.
Το WhisperPair μας υπενθυμίζει ότι η ασφάλεια στον ψηφιακό κόσμο είναι πολυεπίπεδη: απαιτεί σωστή υλοποίηση από τους κατασκευαστές, επαρκή δοκιμή και υπεύθυνη διαχείριση από τις πλατφόρμες. Ως χρήστες, οφείλουμε να ενημερώνουμε τις συσκευές μας και να παραμένουμε σε εγρήγορση απέναντι σε νέες ευπάθειες. Αν χρησιμοποιείτε ασύρματα ακουστικά ή παρόμοια αξεσουάρ, ελέγξτε αν η συσκευή σας επηρεάζεται, εγκαταστήστε τις διαθέσιμες ενημερώσεις και μοιραστείτε αυτές τις πληροφορίες με όσους μπορεί να ωφεληθούν.
