Siga ZDNET: Adicione-nos como fonte preferencial no Google.
Principais conclusões da ZDNET
- As vulnerabilidades do WhisperPair afetam um protocolo para conectar dispositivos e produtos de áudio.
- Os invasores podem assumir o controle de um dispositivo de áudio, adulterar controles e potencialmente ouvir suas conversas.
- Muitos fornecedores lançaram patches, mas alguns dispositivos ainda estão vulneráveis
Os pesquisadores divulgaram o WhisperPair, uma família de vulnerabilidades que afetam um protocolo comumente usado para emparelhar fones de ouvido e outros produtos de áudio com dispositivos Bluetooth.
Também: Seu PC com Home windows precisa deste patch para evitar malware desagradável de bootkit – atualize agora
O que é WhisperPair?
Como primeiro relatado pela Wiredo WhisperPair foi descoberto por uma equipe de pesquisadores da Universidade KU Leuven da Bélgica, apoiada pelo Programa de Pesquisa em Segurança Cibernética do governo.
O descobertas estão relacionados à implementação inadequada do protocolo Quick Pair do Google, que permite o emparelhamento com um toque e a sincronização de contas em acessórios Bluetooth. Se o protocolo não tiver sido implementado corretamente, é introduzida uma falha de segurança que “permite que um invasor sequestre dispositivos e rastreie vítimas usando a rede Discover Hub do Google”, segundo os pesquisadores.
Além disso: como esse ataque do Copilot com um clique contornou os controles de segurança – e o que a Microsoft fez a respeito
A pesquisa de vulnerabilidade foi relatada ao Google em explicit em agosto de 2025 e recebeu uma classificação crítica em CVE-2025-36911. Uma janela de divulgação de 150 dias foi acordada e uma recompensa por bug de US$ 15.000 foi concedida.
Como funciona o WhisperPair?
O WhisperPair ocorre porque muitos acessórios de áudio pulam uma “etapa crítica” durante o emparelhamento rápido. É assim que funciona: um “buscador” – como um dispositivo móvel habilitado para Bluetooth – envia uma mensagem ao “provedor”, um acessório de áudio. A mensagem inclui uma solicitação de emparelhamento.
Embora o protocolo Quick Pair especifique que essas mensagens devem ser ignoradas quando um acessório não está no modo de emparelhamento, essa verificação nem sempre é realizada, permitindo que dispositivos não autorizados iniciem o emparelhamento sem permissão.
Além disso: Os melhores fones de ouvido de 2026: testados e revisados por especialistas
“Depois de receber uma resposta do dispositivo vulnerável, um invasor pode concluir o procedimento de emparelhamento rápido estabelecendo um emparelhamento Bluetooth common”, dizem os pesquisadores.
O que o WhisperPair pode fazer?
Se um invasor puder emparelhar secretamente seu buscador com fones de ouvido ou fones de ouvido vulneráveis, ele poderá obter controle whole sobre ele, incluindo a adulteração de controles como o quantity. Mais importante ainda, eles podem gravar silenciosamente conversas feitas usando microfones embutidos.
Os ataques WhisperPair foram testados em um alcance de até 14 metros e podem ser conduzidos sem fio.
Além disso: esses 8 produtos de áudio na CES 2026 foram tão impressionantes que tive que ouvir duas vezes
Infelizmente, não termina aí. Se um dispositivo for compatível, mas não tiver sido registrado no Google Encontrar hub rede, os invasores poderiam, teoricamente, registrar um dispositivo alvo em sua própria conta e rastrear o acessório – e seu usuário. Embora uma notificação de rastreamento inesperada apareça, apenas o dispositivo do próprio usuário será mostrado – e portanto este aviso pode ser ignorado.
Quais dispositivos são afetados?
Fones de ouvido e acessórios de áudio de empresas como Google, Sony, Harman (JBL) e Anker estão entre os listados como vulneráveis no momento da redação deste artigo.
Como o WhisperPair explora uma falha na implementação do Quick Pair em acessórios Bluetooth, os dispositivos Android não são os únicos em risco. Usuários de iPhone com acessórios vulneráveis também serão afetados.
Como posso saber se meu dispositivo está vulnerável?
A equipe de pesquisa publicou um catálogo de fones de ouvido, fones de ouvido e outros acessórios de áudio populares que foram testados. Há um útil função de pesquisa você pode usar para verificar se o seu produto está na lista: navegue ou digite o nome do fornecedor para visualizar o standing do produto no qual está interessado, e o diretório indicará se ele é vulnerável a ataques WhisperPair.
O que devo fazer a seguir?
Se o seu acessório ainda estiver rotulado como vulnerável a esse ataque, primeiro verifique se algum patch do fornecedor está disponível. Mesmo que o seu dispositivo seja descrito como “não vulnerável”, você ainda deve reservar um momento para garantir que ele esteja atualizado e tenha aceitado novas atualizações de software program.
Como observam os pesquisadores, “a única maneira de evitar ataques WhisperPair é instalar um patch de software program emitido pelo fabricante”. Você pode verificar os aplicativos ou websites dos fornecedores para ver se algo está disponível, mas se não estiver, infelizmente, é apenas um jogo de espera. Se o seu acessório for compatível com Discover Hub, mas não tiver sido emparelhado com um dispositivo Android, a equipe diz que os invasores podem “rastrear sua localização”, portanto, ele deve ser atualizado assim que uma correção estiver disponível.
Além disso: por que mantenho esses 4 pares de fones de ouvido comigo o tempo todo
Mesmo que você possa desativar o Quick Pair em seu smartphone, isso não reduzirá o risco de comprometimento.
“Até onde sabemos, os acessórios compatíveis têm o Quick Pair ativado por padrão, sem a opção de desativá-lo”, acrescentaram os pesquisadores. “A única maneira de evitar ataques WhisperPair é realizando uma atualização de firmware do acessório.”
