:quality(75)/su_co_fast_pair_khien_tai_nghe_bluetooth_nguy_co_bao_mat_198884_3_57eb49b419.jpg)
Sự cố Fast Pair đẩy hàng trăm triệu tai nghe Bluetooth vào nguy cơ bảo mật
Hàng trăm triệu thiết bị Bluetooth có nguy cơ bị tấn công
Google Fast Pair là giao thức cho phép các thiết bị Bluetooth như tai nghe hoặc loa nhanh chóng ghép nối với điện thoại hay laptop. Tuy nhiên, một nhóm nhà nghiên cứu bảo mật đến từ Đại học KU Leuven của Bỉ đã công bố một báo cáo cho thấy Fast Pair tồn tại lỗ hổng nghiêm trọng, được theo dõi với mã CVE-2025-36911 và đặt tên là WhisperPair.
Lỗ hổng WhisperPair ảnh hưởng đến hàng trăm triệu loa và tai nghe Bluetooth từ 15 nhà sản xuất khác nhau, trải dài trên 17 dòng thiết bị hỗ trợ Fast Pair.
Nguy cơ nghe lén và theo dõi vị trí người dùng
Theo nhóm nghiên cứu, WhisperPair có thể bị lợi dụng để chiếm quyền điều khiển loa hoặc micro của thiết bị, từ đó nghe lén các cuộc trò chuyện xung quanh. Trong một số trường hợp, kẻ tấn công còn có thể theo dõi vị trí của nạn nhân mà họ không hề hay biết. Nhóm nghiên cứu đã cung cấp một đoạn video minh họa cho thấy việc khai thác lỗ hổng này diễn ra nhanh chóng và tương đối dễ dàng.
Đáng chú ý, ngay cả người dùng iPhone cũng có thể trở thành nạn nhân dù chưa từng sở hữu hay sử dụng bất kỳ sản phẩm nào của Google. Điều này cho thấy phạm vi ảnh hưởng của WhisperPair vượt xa hệ sinh thái Android như nhiều người vẫn lầm tưởng.

Google phản hồi và triển khai bản vá
Các lỗ hổng đã được báo cáo cho Google từ tháng 8/2025. Sau khi đánh giá mức độ nghiêm trọng, Google yêu cầu nhóm nghiên cứu trì hoãn công bố trong 150 ngày để có thời gian triển khai bản vá và phối hợp với các hãng sản xuất thiết bị.
Người phát ngôn của Google cho biết công ty chưa ghi nhận bằng chứng nào cho thấy lỗ hổng này bị khai thác ngoài môi trường phòng thí nghiệm. Tuy vậy, Google cũng thừa nhận rằng một số thiết bị dễ bị tấn công có thể không nhận được bản cập nhật bảo mật, dù không nêu rõ đó là những model nào.
Cơ chế hoạt động của lỗ hổng WhisperPair
Về mặt kỹ thuật, Google Fast Pair có quy định rõ rằng các thiết bị Bluetooth phải bỏ qua yêu cầu ghép nối khi chúng không ở chế độ ghép nối chủ động. Tuy nhiên, các nhà sản xuất thiết bị và nhà làm chip có thể đã không thực thi nghiêm ngặt yêu cầu này, dẫn đến việc kẻ xấu có thể gửi yêu cầu ghép nối trái phép mà không cần sự đồng ý hay nhận thức của người dùng.
Theo nhóm nghiên cứu, khi Fast Pair khởi động, thiết bị tìm kiếm như điện thoại sẽ gửi yêu cầu ghép nối đến phụ kiện. Theo đặc tả, phụ kiện phải bỏ qua yêu cầu này nếu không ở chế độ ghép nối. Việc một số thiết bị không thực thi đầy đủ quy tắc đó đã tạo điều kiện cho WhisperPair xuất hiện.
Một vấn đề khác là các thông báo cảnh báo theo dõi có thể gây hiểu lầm cho người dùng. Nạn nhân có thể nhận được thông báo theo dõi không mong muốn sau vài giờ hoặc thậm chí vài ngày, nhưng thông báo này lại hiển thị chính thiết bị của họ. Điều này dễ khiến người dùng cho rằng đây chỉ là lỗi hệ thống và bỏ qua cảnh báo, từ đó tạo điều kiện cho kẻ tấn công tiếp tục theo dõi trong thời gian dài.

Phạm vi khai thác và mức độ nguy hiểm
WhisperPair có thể bị khai thác bởi bất kỳ thiết bị nào có khả năng Bluetooth như laptop, điện thoại hoặc thậm chí Raspberry Pi. Trong phạm vi khoảng 15 m, kẻ tấn công có thể ép ghép nối chỉ trong vài giây mà không cần tiếp xúc trực tiếp với thiết bị mục tiêu.
Sau khi chiếm quyền ghép nối, phụ kiện có thể bị thêm vào tài khoản của kẻ tấn công và bị theo dõi vị trí thông qua mạng lưới Google Find Hub, đặc biệt nếu thiết bị đó chưa từng ghép nối với điện thoại Android trước đây.

Người dùng cần làm gì ngay lúc này
Biện pháp quan trọng nhất để bảo vệ bản thân là đảm bảo thiết bị Bluetooth của bạn đã được cài đặt firmware mới nhất từ nhà sản xuất. Google xác nhận rằng Pixel Buds Pro 2 nằm trong danh sách thiết bị dễ bị ảnh hưởng nhưng đã được vá lỗi thông qua bản cập nhật.
Ngoài ra, Google cũng cho biết họ đã triển khai một bản sửa lỗi riêng biệt nhằm ngăn chặn việc theo dõi qua Find Hub bằng hình thức tấn công tài khoản ẩn. Theo Google, bản vá này đã giải quyết triệt để vấn đề theo dõi trên tất cả các thiết bị liên quan.
Việc tắt Fast Pair trên điện thoại Android không giúp ngăn chặn hoàn toàn nguy cơ, bởi người dùng không thể vô hiệu hóa Fast Pair trực tiếp trên chính thiết bị Bluetooth. Một số hãng như Jabra và Logitech đã phát hành bản vá, trong khi JBL cho biết bản cập nhật sẽ được tung ra trong vài tuần tới. Một số thương hiệu khác như Sony hay Marshall hiện vẫn chưa phản hồi yêu cầu bình luận, do đó người dùng cần chủ động kiểm tra và cập nhật thiết bị của mình thường xuyên.
Hãy theo dõi FPT Shop để cập nhật nhanh các tin tức và xu hướng công nghệ mới. Hiện FPT Shop đang triển khai nhiều ưu đãi cho tai nghe, loa, điện thoại, laptop cùng các chương trình hỗ trợ trả góp linh hoạt, giúp bạn dễ dàng tiếp cận sản phẩm công nghệ phù hợp với nhu cầu sử dụng.
Xem thêm: Các loại điện thoại này không chạy được ứng dụng ngân hàng từ ngày 1/3
Nguồn: Tomsguide
:quality(75)/estore-v2/img/fptshop-logo.png)