ZDNET
Ikuti ZDNET: Tambahkan kami sebagai sumber pilihan di Google.
Poin Penting ZDNET
Kerentanan WhisperPair berdampak pada protokol untuk menghubungkan perangkat dan produk audio.
Penyerang dapat mengambil alih perangkat audio, mengutak-atik kontrol, dan berpotensi menyadap percakapan Anda.
Banyak vendor telah merilis patch, tetapi beberapa perangkat masih rentan.
Para peneliti telah mengungkap WhisperPair, sekumpulan kerentanan yang berdampak pada protokol yang umum digunakan untuk memasangkan headphone, earbuds, dan produk audio lainnya dengan perangkat Bluetooth.
Apa Itu WhisperPair?
Seperti yang pertama kali dilaporkan oleh Wired, WhisperPair ditemukan oleh tim peneliti dari Universitas KU Leuven Belgia, dengan dukungan Program Penelitian Keamanan Siber pemerintah.
Temuan ini berkaitan dengan implementasi yang tidak tepat dari protokol Fast Pair milik Google, yang memungkinkan pemasangan satu ketuk dan sinkronisasi akun di berbagai aksesori Bluetooth. Jika protokol belum diimplementasikan dengan benar, celah keamanan muncul yang "memungkinkan penyerang membajak perangkat dan melacak korban menggunakan jaringan Google Find Hub," menurut para peneliti.
Penelitian kerentanan ini dilaporkan kepada Google secara privat pada Agustus 2025 dan diberi peringkat kritis di bawah CVE-2025-36911. Masa披露 150 hari disepakati dan hadiah bug sebesar $15.000 diberikan.
Bagaimana WhisperPair Bekerja?
WhisperPair terjadi karena banyak aksesori audio melewatkan "langkah kritis" selama pemasangan Fast Pair. Begini cara kerjanya: "pencari" — seperti perangkat seluler yang mendukung Bluetooth — mengirim pesan ke "penyedia", yaitu aksesori audio. Pesan tersebut berisi permintaan pemasangan.
Meskipun protokol Fast Pair menentukan bahwa pesan ini harus diabaikan saat aksesori tidak dalam mode pemasangan, pemeriksaan ini tidak selalu dilakukan, sehingga perangkat yang tidak berwenang dapat memulai pemasangan tanpa izin.
"Setelah menerima balasan dari perangkat yang rentan, penyerang dapat menyelesaikan prosedur Fast Pair dengan membangun pemasangan Bluetooth biasa," kata para peneliti.
Apa yang Dapat Dilakukan WhisperPair?
Jika penyerang dapat secara diam-diam memasangkan ‘pencari’ mereka dengan headphone atau earbuds yang rentan, mereka bisa mendapatkan kendali penuh atasnya, termasuk mengutak-atik kontrol seperti volume. Yang lebih penting, mereka mungkin dapat merekam percakapan secara diam-diam menggunakan mikrofon bawaan.
Serangan WhisperPair diuji pada jarak hingga 14 meter dan dapat dilakukan secara nirkabel.
Sayangnya, tidak berhenti di situ. Jika suatu perangkat mendukung tetapi belum terdaftar ke jaringan Find Hub Google, penyerang secara teori dapat mendaftarkan perangkat target itu sendiri ke akun mereka dan melacak aksesori — serta penggunanya. Meskipun notifikasi pelacakan tak terduga akan muncul, hanya perangkat pengguna sendiri yang akan ditampilkan — sehingga peringatan ini mungkin diabaikan.
Perangkat Apa Saja yang Terdampak?
Headphone dan aksesori audio dari perusahaan termasuk Google, Sony, Harman (JBL), dan Anker termasuk yang terdaftar rentan pada saat penulisan ini.
Karena WhisperPair mengeksploitasi cacat dalam implementasi Fast Pair di aksesori Bluetooth, perangkat Android bukanlah satu-satunya yang berisiko. Pengguna iPhone dengan aksesori rentan juga terdampak.
Bagaimana Saya Tahu Apakah Perangkat Saya Rentan?
Tim peneliti telah menerbitkan katalog headphone, earbuds, dan aksesori audio populer lainnya yang telah diuji. Ada fungsi pencarian berguna yang dapat Anda gunakan untuk memeriksa apakah produk Anda ada dalam daftar: telusuri atau masukkan nama vendor untuk melihat status produk yang Anda minati, dan direktori akan menunjukkan apakah produk itu rentan terhadap serangan WhisperPair.
Apa yang Harus Saya Lakukan Selanjutnya?
Jika aksesori Anda masih dilabeli rentan terhadap serangan ini, pertama periksa apakah ada patch dari vendor yang tersedia. Bahkan jika perangkat Anda dideskripsikan sebagai "tidak rentan," Anda tetap harus meluangkan waktu untuk memastikannya mutakhir dan telah menerima semua pembaruan perangkat lunak terbaru.
Sebagaimana dicatat peneliti, "satu-satunya cara untuk mencegah serangan WhisperPair adalah dengan menginstal patch perangkat lunak yang dikeluarkan oleh pabrikan." Anda dapat memeriksa aplikasi atau situs web vendor pendamping untuk melihat apakah ada yang tersedia, tetapi jika tidak, sayangnya, ini hanyalah permainan menunggu. Jika aksesori Anda mendukung Find Hub tetapi belum dipasangkan dengan perangkat Android, tim mengatakan penyerang dapat "melacak lokasinya," sehingga harus diperbarui segera setelah perbaikan tersedia.
Bahkan jika Anda dapat menonaktifkan Fast Pair di ponsel cerdas Anda, ini tidak akan mengurangi risiko kompromi.
"Sepengetahuan kami, aksesori kompatibel mengaktifkan Fast Pair secara default tanpa opsi untuk menonaktifkannya," tambah para peneliti. "Satu-satunya cara untuk mencegah serangan WhisperPair adalah dengan melakukan pembaruan firmware pada aksesorinya."