Mọi thứ bắt nguồn từ lỗ hổng mang tên WhisperPair liên quan đến chip Bluetooth và cách thiết bị xử lý giao thức Fast Pair, khiến tai nghe không dây bị tấn công. Tai nghe không dây từ nhiều thương hiệu như Sony, Bose, OnePlus, Jabra, Xiaomi và cả Google đều dễ bị tấn công.
Hàng trăm triệu tai nghe không dây đã gặp sự cố nghiêm trọng liên quan đến Fast Pair
ẢNH: ANDROID POLICE
Theo báo cáo, vấn đề này dường như mang tính hệ thống. Cụ thể, trong khi Google cung cấp thông số kỹ thuật của Fast Pair, việc xác thực và chứng nhận tuân thủ các tiêu chuẩn bảo mật dường như đã thất bại ở nhiều khâu trong chuỗi sản xuất.
Fast Pair sử dụng giao thức Bluetooth Low Energy (BLE) để phát ra tín hiệu mà các điện thoại Android gần đó có thể thu nhận ngay lập tức. Theo quy định, một phụ kiện chỉ nên chấp nhận yêu cầu ghép nối khi người dùng kích hoạt "chế độ ghép nối" trực tiếp bằng thủ công. Tuy nhiên, các nhà nghiên cứu tại Đại học KU Leuven (Bỉ) đã phát hiện ra rằng nhiều thiết bị được Google chứng nhận đã bỏ qua bước quan trọng này.
Không cần bấm nút, tai nghe không dây vẫn có thể bị hack
Lỗ hổng cho phép kẻ tấn công trong phạm vi 14 mét ép buộc kết nối với tai nghe, ngay cả khi chúng đang được người dùng sử dụng. Kết quả là thiết bị trở nên dễ bị tấn công chỉ trong vài giây mà không cần người dùng phải nhấn bất kỳ nút nào.
Các chuyên gia cho rằng, việc chiếm giữ tai nghe của người khác có thể dẫn đến những rủi ro nghiêm trọng như nghe lén từ xa, chèn âm thanh hay theo dõi vị trí. Đây là lý do khiến Google phân loại lỗ hổng có tên CVE-2025-36911 này ở mức độ "nghiêm trọng cao".
Mặc dù Google tuyên bố đã hợp tác với các nhà sản xuất tai nghe để phát hành bản vá lỗi từ tháng 9.2025, nhưng giải pháp thực sự nằm ở việc cập nhật firmware. Khác với hệ điều hành di động tự động cập nhật, nhiều người dùng không bao giờ kết nối tai nghe của họ với ứng dụng chính thức của nhà sản xuất để kiểm tra các bản vá bảo mật, do đó một lỗ hổng bảo mật lớn có thể kéo dài nhiều năm.
Hiện tại, người dùng tai nghe không dây được khuyến nghị nên kiểm tra và cập nhật phần mềm ngay lập tức trên thiết bị của mình để bảo vệ quyền riêng tư và an toàn cá nhân.
