ZDNET
Ikuti ZDNET: [Tambahkan kami sebagai sumber pilihan] di Google.
—
Intisari utama ZDNET:
- Kerentanan WhisperPair memengaruhi protokol untuk menghubungkan perangkat dan produk audio.
- Penyerang dapat mengambil alih perangkat audio, menyabotase kontrol, dan berpotensi menyadap percakapan Anda.
- Banyak vendor telah merilis perbaikan, tetapi beberapa perangkat masih rentan.
—
Para peneliti telah mengungkap WhisperPair, sekumpulan kerentanan yang memengaruhi protokol yang umum digunakan untuk memasangkan headphone, earbud, dan produk audio lainnya dengan perangkat Bluetooth.
Juga: [PC Windows Anda memerlukan perbaikan ini untuk menangkal malware bootkit yang berbahaya – perbarui sekarang]
Apa itu WhisperPair?
Seperti yang [pertama kali dilaporkan oleh Wired], WhisperPair ditemukan oleh tim peneliti dari Universitas KU Leuven Belgia, dengan dukungan Program Penelitian Keamanan Siber pemerintah.
[Temuan] ini terkait dengan implementasi yang tidak tepat dari protokol Fast Pair milik Google, yang memungkinkan pemasangan satu ketuk dan sinkronisasi akun di berbagai aksesori Bluetooth. Jika protokol belum diimplementasikan dengan benar, celah keamanan muncul yang "memungkinkan penyerang membajak perangkat dan melacak korban menggunakan jaringan Find Hub Google," menurut para peneliti.
Juga: [Bagaimana serangan Copolit satu klik ini mem-bypass kontrol keamanan – dan apa yang dilakukan Microsoft]
Penelitian kerentanan ini dilaporkan kepada Google secara pribadi pada Agustus 2025 dan diberi peringkat kritis di bawah [CVE-2025-36911]. Masa tenggang pengungkapan 150 hari disepakati dan hadiah bug sebesar $15.000 diberikan.
Bagaimana cara kerja WhisperPair?
WhisperPair terjadi karena banyak aksesori audio melewatkan "langkah kritis" selama pemasangan Fast Pair. Begini cara kerjanya: "pencari" — seperti perangkat seluler dengan Bluetooth — mengirim pesan ke "penyedia", yaitu aksesori audio. Pesan tersebut berisi permintaan pemasangan.
Meskipun protokol Fast Pair menetapkan bahwa pesan ini harus diabaikan ketika aksesori tidak dalam mode pemasangan, pemeriksaan ini tidak selalu dilakukan, sehingga memungkinkan perangkat yang tidak sah memulai pemasangan tanpa izin.
Juga: [Earbud terbaik tahun 2026: Diuji dan ditinjau oleh ahli]
"Setelah menerima balasan dari perangkat yang rentan, penyerang dapat menyelesaikan prosedur Fast Pair dengan membangun pemasangan Bluetooth biasa," kata para peneliti.
Apa dampak WhisperPair?
Jika penyerang dapat secara diam-diam memasangkan "pencari" mereka dengan headphone atau earbud yang rentan, mereka dapat memperoleh kendali penuh atasnya, termasuk menyabotase kontrol seperti volume. Yang lebih penting, mereka mungkin dapat merekam percakapan yang dilakukan menggunakan mikrofon bawaan secara diam-diam.
Serangan WhisperPair diuji pada jarak hingga 14 meter dan dapat dilakukan secara nirkabel.
Juga: [8 produk audio di CES 2026 ini sangat mengesankan, sampai saya harus mendengarkannya dua kali]
Sayangnya, tidak berhenti di situ. Jika suatu perangkat mendukung tetapi belum terdaftar ke jaringan [Find Hub] Google, penyerang secara teori dapat mendaftarkan perangkat target sendiri ke akun mereka dan melacak aksesori — serta penggunanya. Meskipun notifikasi pelacakan tak terduga akan muncul, hanya perangkat pengguna sendiri yang akan ditampilkan — sehingga peringatan ini mungkin diabaikan.
Perangkat apa yang terdampak?
Headphone dan aksesori audio dari perusahaan termasuk Google, Sony, Harman (JBL), dan Anker termasuk yang terdaftar rentan pada saat artikel ini ditulis.
Karena WhisperPair mengeksploitasi kelemahan dalam implementasi Fast Pair pada aksesori Bluetooth, perangkat Android bukan satu-satunya yang berisiko. Pengguna iPhone dengan aksesori rentan juga terdampak.
Bagaimana saya tahu jika perangkat saya rentan?
Tim peneliti telah menerbitkan katalog headphone, earbud, dan aksesori audio populer yang telah diuji. Ada [fungsi pencarian] berguna yang dapat Anda gunakan untuk memeriksa apakah produk Anda ada dalam daftar: telusuri atau masukkan nama vendor untuk melihat status produk yang Anda minati, dan direktori akan menunjukkan apakah produk tersebut rentan terhadap serangan WhisperPair.
Apa yang harus saya lakukan selanjutnya?
Jika aksesori Anda masih diberi label rentan terhadap serangan ini, pertama-tama periksa apakah ada perbaikan dari vendor yang tersedia. Bahkan jika perangkat Anda dideskripsikan sebagai "tidak rentan," Anda tetap harus meluangkan waktu untuk memastikannya mutakhir dan telah menerima semua pembaruan perangkat lunak terbaru.
Seperti dicatat peneliti, "satu-satunya cara untuk mencegah serangan WhisperPair adalah dengan memasang perbaikan perangkat lunak yang dikeluarkan oleh pabrikan." Anda dapat memeriksa aplikasi atau situs web vendor pendamping untuk melihat apakah ada yang tersedia, tetapi jika tidak, sayangnya, ini hanya soal menunggu. Jika aksesori Anda mendukung Find Hub tetapi belum dipasangkan dengan perangkat Android, tim mengatakan penyerang dapat "melacak lokasinya," jadi perangkat harus diperbarui segera setelah perbaikan tersedia.
Juga: [Mengapa saya selalu membawa 4 pasang headphone ini dan peran unik masing-masing]
Bahkan jika Anda dapat menonaktifkan Fast Pair di ponsel cerdas Anda, ini tidak akan mengurangi risiko kompromi.
"Sepengetahuan kami, aksesori kompatibel memiliki Fast Pair diaktifkan secara default tanpa opsi untuk menonaktifkannya," tambah para peneliti. "Satu-satunya cara untuk mencegah serangan WhisperPair adalah dengan melakukan pembaruan firmware pada aksesorinya."