Cảnh báo lỗ hổng đe dọa hàng triệu tai nghe không dây

Các nhà nghiên cứu bảo mật thuộc nhóm An ninh Máy tính và Mật mã Công nghiệp tại Đại học KU Leuven (Bỉ) vừa phát hiện ra một kỹ thuật tấn công mới mang tên WhisperPair. Lỗ hổng này, Lỗ hổng này được gán mã theo dõi CVE-2025-36911, và xác nhận là ở mức độ "nghiêm trọng cao"cho phép kẻ tấn công cưỡng chế kết nối với các thiết bị Bluetooth ở gần mà không cần sự đồng ý của người dùng.

Chỉ mất vài giây để chiếm quyền, có thể nghe lén và theo dõi vị trí

Vấn đề cốt lõi của lỗ hổng này nằm ở lỗi logic trong mã ghép nối dựa trên khóa của giao thức Google Fast Pair. Theo quy định kỹ thuật, quy trình ghép nối chỉ được phép diễn ra khi phụ kiện đang ở "chế độ ghép nối" (pairing mode). Tuy nhiên, nhiều thiết bị từ các thương hiệu lớn đã không thực hiện bước kiểm tra trạng thái này.

 

Lợi dụng sơ hở đó, kẻ tấn công nằm trong phạm vi Bluetooth (khoảng 14 mét) có thể bắt đầu và hoàn tất quy trình ghép nối chỉ trong vài giây, ngay cả khi thiết bị đang được sử dụng hoặc nằm trong túi.

Một nhà nghiên cứu mô tả kịch bản tấn công: "Bạn đang đi bộ trên đường với tai nghe, bạn đang nghe nhạc. Chỉ trong chưa đầy 15 giây, chúng tôi có thể chiếm quyền điều khiển thiết bị của bạn".

Sau khi chiếm quyền kiểm soát, kẻ tấn công có thể thực hiện nhiều hành vi gây hại như nghe lén bằng cách kích hoạt micro trên tai nghe để ghi âm các cuộc hội thoại xung quanh hay phát âm thanh ở mức âm lượng lớn gây khó chịu hoặc tổn hại thính giác.

 

Một trong những hậu quả nguy hại nhất của việc bị chiếm quyền kiểm soát thiết bị Bluetooth là theo dõi vị trí. Nếu thiết bị nạn nhân hỗ trợ mạng Find Hub của Google và chưa từng được ghép nối với tài khoản Android nào trước đó, kẻ tấn công có thể gán "Khóa Tài khoản" (Owner Account Key) của chúng vào thiết bị. Điều này cho phép kẻ gian sử dụng mạng lưới tìm đồ thất lạc của Google để theo dõi vị trí của nạn nhân theo thời gian thực.

Đáng chú ý, rủi ro theo dõi này áp dụng cho cả những người không sử dụng điện thoại Android, vì kẻ tấn công có thể liên kết thiết bị với tài khoản Google của chính họ để kích hoạt tính năng định vị.

Danh sách các thiết bị bị ảnh hưởng

 

Các nhà nghiên cứu đã thử nghiệm trên 25 thiết bị thương mại và phát hiện 68% trong số đó dễ bị tấn công. Dù các thiết bị này đã vượt qua quy trình chứng nhận của Google, lỗi vẫn tồn tại trên diện rộng.

Các thương hiệu có sản phẩm bị ảnh hưởng bao gồm: Google, Jabra, JBL, Logitech, Marshall, Nothing, OnePlus, Sony, Soundcore và Xiaomi.

Các nhà nghiên cứu đã thông báo cho Google từ tháng 8/2025 và nhận được khoản tiền thưởng 15.000 USD.

 

Google đã tung ra các bản vá bảo mật cho điện thoại Pixel và cập nhật các công cụ chứng nhận cho đối tác. Tuy nhiên, các chuyên gia cảnh báo rằng chỉ cập nhật điện thoại là chưa đủ.

Vì lỗ hổng nằm trong chính các phụ kiện âm thanh, người dùng bắt buộc phải cài đặt các bản cập nhật firmware (phần mềm hệ thống) cho tai nghe hoặc loa của mình thông qua ứng dụng của nhà sản xuất.

Marshall xác nhận đã phát hành bản vá từ tháng 11/2025. Google xác nhận tai nghe Pixel Buds đã được vá. OnePlus cho biết đang điều tra và sẽ có hành động bảo vệ người dùng.

 

Người dùng được khuyến cáo nên kiểm tra ngay lập tức ứng dụng quản lý thiết bị âm thanh của mình để cập nhật phần mềm mới nhất nhằm ngăn chặn nguy cơ bị tấn công.