Peneliti keamanan menemukan celah kritis pada protokol Google Fast Pair yang memungkinkan penyerang mengambil alih aksesori audio Bluetooth, melacak lokasi pengguna, hingga menguping percakapan tanpa sepengetahuan korban. Kerentanan ini berdampak luas karena berada pada sisi perangkat audio itu sendiri, bukan pada sistem operasi ponsel.
Celah tersebut dilacak sebagai CVE-2025-36911 dan dijuluki WhisperPair. Kerentanan ini memengaruhi ratusan juta headphone, earbud, dan speaker nirkabel dari berbagai merek yang mendukung Fast Pair. Karena letak masalahnya ada pada implementasi di perangkat aksesori, pengguna Android maupun iPhone sama-sama berisiko jika menggunakan perangkat audio yang rentan.
Temuan ini diungkap oleh peneliti dari kelompok Computer Security and Industrial Cryptography di KU Leuven. Mereka menjelaskan bahwa akar masalah berasal dari implementasi Fast Pair yang tidak sesuai spesifikasi pada banyak perangkat audio kelas atas. Dalam spesifikasi resmi, perangkat Bluetooth seharusnya mengabaikan permintaan pairing jika tidak sedang berada dalam mode pairing. Namun, dalam praktiknya, banyak produsen tidak menerapkan pengecekan ini.
Akibat kelalaian tersebut, perangkat yang rentan dapat merespons permintaan pairing dari pihak tidak sah. Setelah mendapatkan respons awal, penyerang dapat menyelesaikan proses pairing Bluetooth standar tanpa interaksi pengguna atau akses fisik ke perangkat. Serangan ini dapat dilakukan menggunakan perangkat apa pun yang mendukung Bluetooth, seperti laptop, ponsel, atau komputer mini.
Peneliti menyebutkan bahwa eksploitasi WhisperPair dapat dilakukan dalam hitungan detik dari jarak hingga sekitar 14 meter. Perangkat audio dari berbagai merek besar dilaporkan terdampak, termasuk produk yang banyak digunakan sehari-hari. Setelah berhasil dipasangkan, penyerang memperoleh kendali penuh atas perangkat audio tersebut.
Dampaknya tidak terbatas pada gangguan kecil. Penyerang dapat memutar suara dengan volume tinggi secara paksa atau, yang lebih berbahaya, mengaktifkan mikrofon untuk menguping percakapan di sekitar korban. Selain itu, kerentanan ini juga membuka peluang pelacakan lokasi.
Jika perangkat audio yang rentan belum pernah dipasangkan dengan ponsel Android, penyerang dapat menautkannya ke akun mereka sendiri dan memanfaatkan jaringan Find Hub milik Google untuk melacak lokasi korban. Dalam beberapa kasus, korban mungkin menerima notifikasi pelacakan yang tertunda, namun notifikasi tersebut justru menampilkan perangkat milik korban sendiri, sehingga mudah disalahartikan sebagai kesalahan sistem dan diabaikan.
Google memberikan imbalan maksimum sebesar 15.000 dolar AS kepada para peneliti atas temuan ini dan bekerja sama dengan para produsen perangkat untuk menyiapkan pembaruan keamanan dalam periode pengungkapan selama 150 hari. Meski demikian, para peneliti memperingatkan bahwa pembaruan firmware yang menambal celah ini belum tentu tersedia untuk semua perangkat yang terdampak.
Saat ini, satu-satunya perlindungan efektif bagi pengguna adalah memastikan perangkat audio Bluetooth menerima pembaruan firmware terbaru dari produsen. Menonaktifkan Fast Pair di ponsel Android tidak cukup untuk mencegah serangan, karena fitur tersebut tidak dapat dinonaktifkan langsung pada perangkat aksesori. Kondisi ini menegaskan pentingnya pembaruan firmware dan pengawasan keamanan pada perangkat audio nirkabel yang semakin terintegrasi dalam aktivitas sehari-hari.