Nhóm nghiên cứu từ Đại học Leuven đã công bố loạt lỗ hổng bảo mật nghiêm trọng trên các tai nghe Bluetooth hỗ trợ Google Fast Pair.
Kỹ thuật tấn công WhisperPair cho phép kẻ xấu chiếm quyền điều khiển tai nghe mà không cần bất kỳ thao tác nào từ người dùng.
Lỗ hổng xuất phát từ việc Fast Pair không kiểm tra trạng thái ghép đôi, cho phép thiết bị lạ kích hoạt kết nối ngay cả khi tai nghe đang được sử dụng.
Sau khi chiếm quyền, kẻ tấn công có thể phát âm thanh trái phép, kích hoạt micro để nghe lén môi trường xung quanh.
Nguy hiểm hơn, chúng còn có thể gán tài khoản Google của mình làm chủ sở hữu và theo dõi vị trí tai nghe qua mạng Find Hub.
Google đã đánh giá đây là lỗ hổng mức độ nghiêm trọng cao với mã CVE-2025-36911.
Việc khắc phục không thể chỉ cập nhật điện thoại mà phụ thuộc vào firmware do nhà sản xuất tai nghe phát hành.
Hàng loạt thương hiệu lớn như Sony, JBL, Jabra, Xiaomi hay Google bị ảnh hưởng, khiến rủi ro lan rộng tới hàng trăm triệu người dùng toàn cầu.
