Google menyediakan Aplikasi Validator melalui Play Store yang harus dijalankan vendor sebagai bagian dari proses sertifikasi produk mereka untuk menggunakan Fast Pair. Menurut deskripsinya, aplikasi ini “memvalidasi bahwa Fast Pair telah diimplementasikan dengan benar pada perangkat Bluetooth,” dan menghasilkan laporan apakah suatu produk lulus atau gagal dalam evaluasi implementasi Fast Pair-nya. Para peneliti mencatat bahwa semua perangkat yang mereka uji dalam penelitian ini telah memiliki implementasi Fast Pair yang disertifikasi oleh Google. Artinya, dapat diasumsikan bahwa aplikasi Google mengkategorikan mereka memenuhi persyaratannya, meskipun implementasinya mengandung cacat yang berbahaya. Selain itu, perangkat Fast Pair yang tersertifikasi kemudian menjalani pengujian di laboratorium pilihan Google yang meninjau laporan kelulusan dan mengevaluasi secara langsung sampel perangkat fisik sebelum produksi massal untuk memastikan kesesuaiannya dengan standar Fast Pair.
Google menyatakan bahwa spesifikasi Fast Pair telah memberikan persyaratan yang jelas dan Aplikasi Validator dirancang terutama sebagai alat pendukung bagi produsen untuk menguji fungsionalitas inti. Menyusul pengungkapan oleh peneliti KU Leuven, perusahaan menyatakan telah menambahkan tes implementasi baru yang secara khusus disesuaikan dengan persyaratan Fast Pair.
Pada akhirnya, para peneliti menyimpulkan bahwa sulit untuk menentukan apakah masalah implementasi yang mengakibatkan kerentanan WhisperPair berasal dari kesalahan produsen perangkat atau pembuat chip.
WIRED menghubungi semua pembuat chip yang memproduksi chipset yang digunakan oleh aksesori audio yang rentan—Actions, Airoha, Bestechnic, MediaTek, Qualcomm, dan Realtek—namun tidak ada yang merespons. Dalam tanggapannya kepada WIRED, Xiaomi menyatakan, “Kami telah mengkonfirmasi secara internal bahwa masalah yang Anda rujuk disebabkan oleh konfigurasi non-standar dari pemasok chip terkait protokol Google Fast Pair.” Airoha adalah pembuat chip yang digunakan dalam Redmi Buds 5 Pro yang diidentifikasi peneliti sebagai rentan.
Terlepas dari siapa yang bertanggung jawab atas kerentanan WhisperPair, para peneliti menekankan bahwa satu perubahan konseptual yang sederhana pada spesifikasi Fast Pair akan mengatasi masalah lebih mendasar di balik WhisperPair: Fast Pair seharusnya memberlakukan secara kriptografis pemasangan yang dimaksudkan oleh pemilik aksesori dan tidak mengizinkan “pemilik” nakal kedua untuk melakukan pemasangan tanpa otentikasi.
Untuk saat ini, Google dan banyak produsen perangkat telah menyiapkan pembaruan perangkat lunak untuk memperbaiki kerentanan spesifik tersebut. Namun, penerapan patch tersebut kemungkinan akan tidak konsisten, sebagaimana umumnya dalam keamanan *internet-of-things*. Para peneliti mendorong semua pengguna untuk memperbarui aksesori mereka yang rentan, dan mengarahkan pengguna ke situs web yang mereka buat yang menyediakan daftar perangkat yang dapat dicari yang terdampak WhisperPair. Lebih jauh, mereka menyatakan bahwa semua orang seharusnya menggunakan WhisperPair sebagai pengingat yang lebih umum untuk memperbarui semua perangkat *internet-of-things* mereka.
Pesan lebih luas dari penelitian ini, menurut mereka, adalah bahwa produsen perangkat perlu memprioritaskan keamanan ketika menambahkan fitur kemudahan penggunaan. Bagaimanapun, protokol Bluetooth itu sendiri tidak mengandung satupun kerentanan yang mereka temukan—hanya protokol satu-ketik yang dibangun Google di atasnya untuk membuat pemasangan lebih mudah.
“Ya, kita ingin membuat hidup lebih mudah dan membuat perangkat berfungsi lebih mulus,” kata Antonijević. “Kenyamanan tidak serta merta berarti kurang aman. Namun dalam mengejar kenyamanan, kita tidak boleh mengabaikan keamanan.”