Κυβερνοασφάλεια 24 Ιανουαρίου 2026 8 λεπτά ανάγνωση

WhisperPair: Εκατομμύρια Bluetooth Συσκευές σε Κίνδυνο από Νέα Κυβερνοεπίθεση

Ερευνητές ασφαλείας αποκάλυψαν μια κρίσιμη ευπάθεια στο πρωτόκολλο Google Fast Pair που επιτρέπει σε hackers να καταλαμβάνουν ασύρματα ακουστικά, να παρακολουθούν χρήστες και να υποκλέπτουν τις συνομιλίες τους. Η επίθεση, με κωδικό ονομασία "WhisperPair", επηρεάζει εκατοντάδες εκατομμύρια συσκευές από κορυφαίες μάρκες όπως Sony, Anker, Google και JBL.

📖 Διαβάστε περισσότερα: Supply-chain attacks: 2026 η χρονιά των σιωπηλών παραβιάσεων

⚠️ ΚΡΙΣΙΜΗ ΕΙΔΟΠΟΙΗΣΗ ΑΣΦΑΛΕΙΑΣ

Αν χρησιμοποιείτε ασύρματα ακουστικά ή earbuds με υποστήριξη Google Fast Pair, ενδέχεται να είστε ευάλωτοι σε αυτήν την επίθεση. Ελέγξτε αμέσως για διαθέσιμες ενημερώσεις firmware από τον κατασκευαστή σας.

CVE-2025-36911

ΚΡΙΣΙΜΗ ΣΟΒΑΡΟΤΗΤΑ

Ευπάθεια στο Google Fast Pair Protocol - Επιτρέπει μη εξουσιοδοτημένη σύνδεση και παρακολούθηση

🔎 Τι Είναι το WhisperPair;

Το WhisperPair είναι μια σειρά επιθέσεων που ανακαλύφθηκαν από ερευνητές του KU Leuven (Βέλγιο), οι οποίοι εντόπισαν ένα κρίσιμο κενό ασφαλείας στον τρόπο που πολλά Bluetooth audio accessories υλοποιούν το πρωτόκολλο Google Fast Pair.

Το Google Fast Pair είναι μια τεχνολογία που επιτρέπει γρήγορη σύζευξη και συγχρονισμό λογαριασμού με Bluetooth αξεσουάρ όπως earbuds, ακουστικά και ηχεία, με ένα μόνο πάτημα. Ωστόσο, πολλοί κατασκευαστές δεν έχουν υλοποιήσει σωστά τις προδιαγραφές ασφαλείας του πρωτοκόλλου.

Η προδιαγραφή Fast Pair ορίζει ότι η διαδικασία σύζευξης πρέπει να πραγματοποιείται μόνο όταν το αξεσουάρ βρίσκεται σε pairing mode. Όμως, πολλές συσκευές αποτυγχάνουν να ελέγξουν αυτή την κατάσταση, επιτρέποντας σε επιτιθέμενους να ξεκινήσουν τη διαδικασία σύζευξης χωρίς τη συγκατάθεση ή γνώση του χρήστη.

🎧

Κατάληψη Συσκευής

Οι hackers μπορούν να αναλάβουν πλήρη έλεγχο των ακουστικών σας

🎤

Υποκλοπή Συνομιλιών

Καταγραφή συνομιλιών μέσω του μικροφώνου της συσκευής

📍

Παρακολούθηση Τοποθεσίας

Tracking χρηστών μέσω του δικτύου Google Find Hub

📖 Διαβάστε περισσότερα: ChatGPT Hacking: Πόσο Εύκολο Είναι

🔊

Αναπαραγωγή Ήχου

Δυνατότητα αναπαραγωγής ήχου σε υψηλή ένταση

❓ Πώς Λειτουργεί η Επίθεση

Η επίθεση WhisperPair εκμεταλλεύεται ένα λογικό σφάλμα στον κώδικα key-based pairing, όπου οι συσκευές αποτυγχάνουν να ελέγξουν αν βρίσκονται σε pairing mode πριν δεχτούν αιτήματα σύνδεσης.

Βήματα της Επίθεσης:

Εντοπισμός: Ο επιτιθέμενος χρησιμοποιεί ένα Bluetooth-capable device (laptop, Raspberry Pi ή smartphone) για να εντοπίσει ευάλωτες συσκευές σε ακτίνα έως 14 μέτρων
Εκκίνηση Σύζευξης: Στέλνει μήνυμα Fast Pair στο αξεσουάρ ζητώντας σύζευξη - οι ευάλωτες συσκευές δεν ελέγχουν αν είναι σε pairing mode
Ολοκλήρωση Σύνδεσης: Μέσα σε δευτερόλεπτα, ο επιτιθέμενος ολοκληρώνει τη διαδικασία και αποκτά πλήρη έλεγχο
Εκμετάλλευση: Μπορεί να ακούσει συνομιλίες, να αναπαράγει ήχο ή να παρακολουθήσει την τοποθεσία του θύματος

Το πιο ανησυχητικό είναι ότι η επίθεση δεν απαιτεί καμία αλληλεπίδραση από τον χρήστη και μπορεί να πραγματοποιηθεί χωρίς φυσική πρόσβαση στη συσκευή. Επιπλέον, επηρεάζει χρήστες ανεξαρτήτως λειτουργικού συστήματος - τόσο Android όσο και iPhone χρήστες με ευάλωτες Bluetooth συσκευές διατρέχουν ίδιο κίνδυνο.

Εικονογράφηση κυβερνοεπίθεσης WhisperPair σε εκατομμύρια Bluetooth συσκευές

📖 Διαβάστε περισσότερα: 1000 Κάμερες στην Αθήνα: Ασφάλεια ή Big Brother

🟢 Ποιες Συσκευές Επηρεάζονται;

Η ευπάθεια επηρεάζει εκατοντάδες εκατομμύρια ασύρματα ακουστικά, earbuds και ηχεία από πολλούς κατασκευαστές. Οι ερευνητές επισημαίνουν ότι οι ευάλωτες υλοποιήσεις πέρασαν τις δοκιμές ποιότητας των κατασκευαστών και τη διαδικασία πιστοποίησης της Google, υποδεικνύοντας μια αλυσίδα αποτυχιών στον έλεγχο συμμόρφωσης.

Sony

Anker/Soundcore

Google

JBL

Jabra

Logitech

Marshall

Nothing

OnePlus

Xiaomi

Σημαντικό: Η λίστα των ευάλωτων συσκευών δεν είναι πλήρης. Οι ερευνητές δημοσίευσαν μια πλήρη λίστα ευάλωτων μοντέλων στον επίσημο ιστότοπο whisperpair.eu για να ελέγξουν οι χρήστες τις δικές τους συσκευές.

100M+

Ευάλωτες Συσκευές Παγκοσμίως

14m

Μέγιστη Εμβέλεια Επίθεσης

10+

Επηρεαζόμενες Μάρκες

$15K

Bug Bounty Αμοιβή

📷 Παρακολούθηση Τοποθεσίας μέσω Find Hub

Πέρα από την υποκλοπή, το WhisperPair μπορεί να χρησιμοποιηθεί και για παρακολούθηση τοποθεσίας. Αν τα ακουστικά του θύματος υποστηρίζουν το δίκτυο Google Find Hub και δεν έχουν συνδεθεί ποτέ με Android συσκευή, ο επιτιθέμενος μπορεί να τα προσθέσει στον δικό του λογαριασμό Google.

"Το θύμα μπορεί να δει μια ειδοποίηση ανεπιθύμητης παρακολούθησης μετά από αρκετές ώρες ή ημέρες, αλλά αυτή η ειδοποίηση θα δείχνει τη δική του συσκευή", εξηγούν οι ερευνητές. "Αυτό μπορεί να οδηγήσει τους χρήστες να απορρίψουν την προειδοποίηση ως bug, επιτρέποντας στον επιτιθέμενο να συνεχίσει να παρακολουθεί το θύμα για παρατεταμένη περίοδο."

Οπτική αναπαράσταση της ευπάθειας WhisperPair στα Google Fast Pair ακουστικά

🟢 Χρονοδιάγραμμα Αποκάλυψης

Αύγουστος 2025

Αναφορά στη Google

Οι ερευνητές του KU Leuven ενημερώνουν τη Google για την ευπάθεια μέσω του bug bounty προγράμματος

📖 Διαβάστε περισσότερα: LEGO Smart Brick: Τεχνολογία μέσα στα Τουβλάκια

150 Ημέρες

Περίοδος Διορθώσεων

Η Google συνεργάζεται με τους κατασκευαστές για την ανάπτυξη security patches

Ιανουάριος 2026

Δημόσια Αποκάλυψη

Η Google κυκλοφορεί ενημέρωση ασφαλείας για Pixel συσκευές και οι ερευνητές δημοσιεύουν τα ευρήματά τους

Η Google απένειμε στους ερευνητές $15,000 - τη μέγιστη δυνατή αμοιβή - για την ανακάλυψή τους. Ωστόσο, οι ερευνητές σημειώνουν ότι οι ενημερώσεις ασφαλείας ενδέχεται να μην είναι ακόμα διαθέσιμες για όλες τις ευάλωτες συσκευές.

🛡️ Πώς να Προστατευτείτε

🛡️ Οδηγίες Προστασίας

Ενημερώστε το firmware: Ελέγξτε τον ιστότοπο του κατασκευαστή σας για διαθέσιμες ενημερώσεις ασφαλείας και εγκαταστήστε τες άμεσα
Χρησιμοποιήστε την companion app: Πολλές μάρκες όπως Sony, JBL και Jabra προσφέρουν apps που ειδοποιούν για διαθέσιμα updates
Ελέγξτε τις συνδέσεις: Στις ρυθμίσεις Bluetooth του τηλεφώνου σας, ελέγξτε ποιες συσκευές είναι συνδεδεμένες
Αποφύγετε δημόσιους χώρους: Σε πολυσύχναστες περιοχές, οι επιτιθέμενοι μπορούν πιο εύκολα να εκμεταλλευτούν την ευπάθεια
Επισκεφθείτε whisperpair.eu: Ελέγξτε αν το μοντέλο σας περιλαμβάνεται στη λίστα ευάλωτων συσκευών

⚠️ Σημαντική Σημείωση

Η απενεργοποίηση του Fast Pair στο Android τηλέφωνό σας ΔΕΝ αποτρέπει την επίθεση, καθώς η λειτουργία δεν μπορεί να απενεργοποιηθεί στα ίδια τα αξεσουάρ. Η μόνη αποτελεσματική λύση είναι η εγκατάσταση ενημερώσεων firmware από τον κατασκευαστή.

📖 Διαβάστε περισσότερα: Bluetooth 7.0: Τι Φέρνει η Νέα Γενιά

❓ Γιατί Είναι Σημαντικό

Αυτή η ευπάθεια υπογραμμίζει ένα ευρύτερο πρόβλημα στην ασφάλεια IoT συσκευών. Παρόλο που οι κατασκευαστές πέρασαν τις δοκιμές πιστοποίησης της Google, οι ανασφαλείς υλοποιήσεις εξακολούθησαν να φτάνουν στην αγορά σε μεγάλη κλίμακα.

"Αυτό δείχνει μια αλυσίδα αποτυχιών συμμόρφωσης στο Google Fast Pair, καθώς η ευπάθεια απέτυχε να εντοπιστεί και στα τρία επίπεδα: υλοποίηση, επικύρωση και πιστοποίηση", σημειώνουν οι ερευνητές.

Το γεγονός ότι η αφαίρεση της υποδοχής ακουστικών 3.5mm από τα smartphones ώθησε τους χρήστες σε Bluetooth λύσεις, κάνει αυτές τις ευπάθειες ακόμα πιο ανησυχητικές. Προηγούμενες επιθέσεις όπως BlueBorne, BLUFFS και KNOBS είχαν ήδη αποκαλύψει κενά ασφαλείας στο Bluetooth.

Συμπεράσματα

Η ευπάθεια WhisperPair αποτελεί σοβαρή απειλή για την ιδιωτικότητα εκατομμυρίων χρηστών ασύρματων ακουστικών παγκοσμίως. Ενώ η Google και οι κατασκευαστές εργάζονται για τη διόρθωση του προβλήματος, η ασφάλεια εξαρτάται από την ενημέρωση των firmware των συσκευών - κάτι που πολλοί χρήστες αγνοούν ή παραλείπουν.

Αν χρησιμοποιείτε ασύρματα ακουστικά ή earbuds, ελέγξτε άμεσα για διαθέσιμες ενημερώσεις και επισκεφθείτε τον ιστότοπο whisperpair.eu για να δείτε αν η συσκευή σας επηρεάζεται.

WhisperPair Bluetooth κυβερνοασφάλεια Google Fast Pair ασύρματα ακουστικά hacking ευπάθεια παρακολούθηση