Lỗ hổng nghiêm trọng mang tên WhisperPair cho phép kẻ tấn công chiếm quyền điều khiển tai nghe, nghe lén qua micro và định vị người dùng mà không cần thao tác ghép đôi trực tiếp.
Theo nghiên cứu vừa được công bố từ Đại học Leuven (Bỉ), kỹ thuật tấn công WhisperPair đang đe dọa trực tiếp đến các thiết bị âm thanh sử dụng giao thức Google Fast Pair. Đây vốn là tính năng được thiết kế để giúp người dùng Android kết nối nhanh các phụ kiện Bluetooth, tuy nhiên chính sự tiện lợi này đã tạo ra kẽ hở cho tội phạm mạng.
Các chuyên gia bảo mật cho biết điểm yếu cốt lõi nằm ở việc hệ thống không kiểm tra thiết bị có đang ở chế độ ghép đôi chủ động hay không. Thông thường, người dùng phải thao tác vật lý trên tai nghe để cho phép kết nối mới, nhưng WhisperPair cho phép kẻ tấn công sử dụng thiết bị trung gian như laptop để ép tai nghe thực hiện quá trình Fast Pair ngay cả khi người dùng đang sử dụng hoặc để trong túi. Khi đã chiếm quyền điều khiển, kẻ xấu có thể kích hoạt micro tích hợp để thu âm môi trường xung quanh, phát âm thanh lạ hoặc thậm chí gán mã khóa tài khoản chủ sở hữu để định vị người dùng qua mạng Find My Device.
Kết quả thử nghiệm trên 25 thiết bị từ 16 nhà sản xuất cho thấy có tới 68% sản phẩm dính lỗ hổng này. Danh sách bị ảnh hưởng bao gồm nhiều mẫu mã phổ biến như Sony WH-1000XM4, XM5, XM6, WF-1000XM5 hay Google Pixel Buds Pro 2. Ngoài ra, hàng loạt thiết bị từ các thương hiệu lớn như Xiaomi với Redmi Buds 5 Pro, JBL Tune Beam, Marshall Motif II A.N.C, cùng các sản phẩm của Jabra, Nothing và soundcore cũng nằm trong diện nguy hiểm. Lỗ hổng này đã được Google định danh là CVE-2025-36911 và xếp vào mức độ nghiêm trọng cao.
Khác với các lỗi phần mềm trên điện thoại, bản vá cho lỗ hổng này phải được thực hiện thông qua firmware của chính chiếc tai nghe. Các chuyên gia khuyến cáo người dùng nên truy cập ngay vào các ứng dụng quản lý tai nghe chuyên dụng như Sony Headphones Connect hoặc ứng dụng của các hãng tương ứng để kiểm tra và cài đặt bản cập nhật mới nhất. Bên cạnh đó, người dùng cần đặc biệt cảnh giác, tuyệt đối không nhấn xác nhận nếu điện thoại bất ngờ hiện thông báo ghép đôi lạ, đồng thời nên cất tai nghe vào hộp sạc để ngắt kết nối hoàn toàn khi ở những nơi công cộng đông người.
