Bezdrátová sluchátka a přenosné reproduktory se měly připojovat rychle a bez starostí. Přesně to byl cíl technologie Google Fast Pair. Jeden dotyk a hotovo. Teď se ale ukazuje, že stejná pohodlnost může hrát do karet útočníkům. Podle bezpečnostních výzkumníků z belgické univerzity KU Leuven obsahuje Fast Pair vážnou chybu, která otevírá cestu ke špehování, sledování i převzetí kontroly nad audio zařízeními.
Ohroženy jsou stovky milionů kusů elektroniky po celém světě. Nejde jen o okrajové značky. Problém se týká nejméně 17 modelů od deseti výrobců. Na seznamu figurují Sony, JBL, OnePlus, Nothing a také samotný Google. Zranitelné jsou dokonce i Pixel Buds Pro 2. Paradoxem je, že obětí se může stát i uživatel iPhonu, který nikdy žádné zařízení od Googlu nepoužíval.
Útok dostal jméno WhisperPair. Podle výzkumníků trvá převzetí kontroly v průměru deset sekund. Útočník přitom nemusí stát těsně vedle oběti. Stačí vzdálenost až čtrnáct metrů, což je téměř maximum, které Bluetooth dovolí. Na přeplněném nádraží nebo v kavárně by si toho nikdo nevšiml.
🚨 WhisperPair Attack Hijacks Google Fast Pair Earbuds for Silent Eavesdropping and Tracking
— ThreatSynop (@ThreatSynop) January 16, 2026
WhisperPair is a set of Bluetooth attacks that exploit weak Fast Pair implementations to force-pair with popular earbuds/headphones even when they’re not in pairing mode, letting…
Jak WhisperPair funguje
Problém vznikl kvůli neúplné implementaci standardu Fast Pair. Zařízení by měla přijmout požadavek na spárování jen tehdy, když jsou v párovacím režimu. Mnoho modelů to ale nekontroluje. Připojí se prakticky ke komukoli, kdo o to požádá. WhisperPair tuto slabinu zneužívá a vynutí si spojení přes běžný Bluetooth proces.
Jakmile se útočník připojí, možnosti jsou překvapivě široké. Může přerušit přehrávání nebo pustit vlastní zvuk. To je ta méně nebezpečná část. Horší je, že u některých zařízení lze získat přístup k mikrofonu. To umožňuje odposlech rozhovorů. Další scénář počítá se sledováním polohy oběti pomocí Bluetooth signálu.
Výzkumníci upozorňují, že Fast Pair nelze na podporovaných zařízeních vypnout. Uživatel tak nemá jednoduchý způsob, jak se bránit. Jedinou možností je nainstalovat oficiální aplikaci výrobce a čekat na aktualizaci firmwaru. To je problém, protože mnoho lidí žádné doprovodné aplikace vůbec nepoužívá.
Opravy jsou pomalé a nejisté
Google potvrdil, že o chybě ví, a informoval své partnery. U vlastních zařízení vydal aktualizaci. Podle výzkumníků ale šlo obejít i tuto záplatu. To ukazuje, jak složité je problém skutečně vyřešit. Každý výrobce musí připravit vlastní opravu. A tu pak dostat k uživatelům.
Na rozdíl od telefonů nebo počítačů se firmware příslušenství aktualizuje jen zřídka. Často ručně. Pokud uživatel aplikaci nemá, nic se nestane. Opravy se tak mohou šířit týdny nebo měsíce. A mezitím riziko zůstává.
Google tvrdí, že zatím nemá informace o zneužití WhisperPair v reálných útocích. To se ale může rychle změnit. Jakmile se technické detaily dostanou na veřejnost, roste šance, že je někdo zneužije. Výzkumníci proto varují, že obezřetnost je na místě.
Pokud má někdo podezření, že se jeho sluchátka stala terčem útoku, zbývá jediné řešení. Provést tovární reset. Tím se případný útočník odpojí a musel by celý proces zopakovat. Není to ideální, ale zatím lepší možnost neexistuje. A aktualizace? Ty je dobré hlídat víc než kdy dřív.
