{"id":24680,"date":"2026-01-30T11:30:47","date_gmt":"2026-01-30T14:30:47","guid":{"rendered":"https:\/\/www.kaspersky.com.br\/blog\/?p=24680"},"modified":"2026-01-30T11:30:47","modified_gmt":"2026-01-30T14:30:47","slug":"whisperpair-blueooth-headset-location-tracking","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/whisperpair-blueooth-headset-location-tracking\/24680\/","title":{"rendered":"Os seus fones de ouvido Bluetooth est\u00e3o espionando voc\u00ea?"},"content":{"rendered":"

Uma vulnerabilidade rec\u00e9m-descoberta, chamada WhisperPair, pode transformar fones de ouvido e headsets Bluetooth de diversas marcas conhecidas em dispositivos pessoais de rastreamento, mesmo se os acess\u00f3rios estiverem conectados a um iPhone, smartphone Android ou em um laptop. Embora a tecnologia por tr\u00e1s dessa falha tenha sido originalmente desenvolvida pelo Google para dispositivos Android, os riscos de rastreamento s\u00e3o, na verdade, muito maiores para aqueles que usam fones de ouvido vulner\u00e1veis com outros sistemas operacionais, como iOS, macOS, Windows ou Linux. Para os usu\u00e1rios de iPhone, isso \u00e9 ainda mais preocupante.<\/p>\n

A conex\u00e3o de fones de ouvido Bluetooth em smartphones Android ficou muito mais r\u00e1pida quando o Google lan\u00e7ou o Fast Pair, uma tecnologia agora usada por dezenas de fabricantes de acess\u00f3rios. Para parear um novo fone de ouvido, basta lig\u00e1-lo e segur\u00e1-lo pr\u00f3ximo ao telefone. Se o dispositivo for relativamente moderno (produzido ap\u00f3s 2019), ser\u00e1 exibida uma janela pop-up convidando voc\u00ea a se conectar e baixar o aplicativo correspondente, caso exista. Basta um toque para come\u00e7ar.<\/p>\n

Infelizmente, parece que muitos fabricantes n\u00e3o prestaram aten\u00e7\u00e3o aos detalhes dessa tecnologia ao implement\u00e1-la, e agora seus acess\u00f3rios podem ser invadidos pelo smartphone de um estranho em segundos, mesmo que o fone de ouvido n\u00e3o esteja no modo de pareamento. Esse \u00e9 o n\u00facleo da vulnerabilidade do WhisperPair, recentemente descoberta por pesquisadores da KU Leuven e registrada como CVE-2025-36911<\/a>.<\/p>\n

O dispositivo de ataque (que pode ser um smartphone, tablet ou laptop padr\u00e3o) transmite as solicita\u00e7\u00f5es do Google Fast Pair para qualquer dispositivo Bluetooth em um raio de 14 metros. Ao que tudo indica, uma longa lista de fones de ouvido da Sony, JBL, Redmi, Anker, Marshall, Jabra, OnePlus e, at\u00e9 mesmo do pr\u00f3prio Google (os Pixel Buds 2), responde a esses sinais mesmo quando n\u00e3o est\u00e3o tentando parear. Em m\u00e9dia, o ataque leva apenas 10 segundos.<\/p>\n

Depois que os fones de ouvido s\u00e3o pareados, o invasor pode fazer praticamente tudo o que o propriet\u00e1rio pode: ouvir pelo microfone, reproduzir m\u00fasica em alto volume ou, em alguns casos, localizar os fones de ouvido em um mapa, se forem compat\u00edveis com o Google Find Hub. Esse \u00faltimo recurso, projetado exclusivamente para encontrar fones de ouvido perdidos, cria uma oportunidade perfeita para rastreamento remoto furtivo. E aqui est\u00e1 a reviravolta: na verdade, \u00e9 mais perigoso para usu\u00e1rios da Apple e qualquer outra pessoa que use hardware que n\u00e3o seja Android.<\/p>\n

Rastreamento remoto e os riscos para iPhones<\/h2>\n

Quando fones de ouvido ou um headset s\u00e3o conectados pela primeira vez a um dispositivo Android por meio do protocolo Fast Pair, uma chave de propriet\u00e1rio vinculada \u00e0 conta do Google desse smartphone \u00e9 armazenada na mem\u00f3ria do acess\u00f3rio. Essas informa\u00e7\u00f5es permitem que os fones de ouvido sejam encontrados posteriormente, aproveitando os dados coletados de milh\u00f5es de dispositivos Android. Se algum smartphone aleat\u00f3rio detectar o dispositivo alvo nas proximidades via Bluetooth, ele informar\u00e1 sua localiza\u00e7\u00e3o aos servidores do Google. Esse recurso, o Google Find Hub, \u00e9 essencialmente a vers\u00e3o Android do Find My da Apple e apresenta os mesmos riscos de rastreamento n\u00e3o autorizados que um AirTag n\u00e3o autorizado<\/a>.<\/p>\n

Quando um invasor sequestra o pareamento, a chave pode ser salva como a chave do propriet\u00e1rio do fone de ouvido, mas somente se o fone de ouvido visado pelo WhisperPair n\u00e3o tiver sido previamente vinculado a um dispositivo Android e tiver sido usado apenas com um iPhone, ou com outro hardware, como um laptop com um sistema operacional diferente. Depois que os fones de ouvido s\u00e3o pareados, o invasor pode rastrear a localiza\u00e7\u00e3o deles em um mapa quando quiser; essencialmente, em qualquer lugar (n\u00e3o apenas dentro do alcance de 14 metros).<\/p>\n

Os usu\u00e1rios do Android que j\u00e1 usaram o Fast Pair para vincular seus fones de ouvido vulner\u00e1veis est\u00e3o protegidos contra essa mudan\u00e7a espec\u00edfica, pois j\u00e1 est\u00e3o conectados como propriet\u00e1rios oficiais. Todos os outros, no entanto, provavelmente devem verificar novamente a documenta\u00e7\u00e3o do fabricante para ver se est\u00e3o livres de riscos. Felizmente, nem todos os dispositivos vulner\u00e1veis \u00e0 explora\u00e7\u00e3o realmente s\u00e3o compat\u00edveis com o Google Find Hub.<\/p>\n

Como neutralizar a amea\u00e7a do WhisperPair<\/h2>\n

A \u00fanica maneira realmente eficaz de corrigir esse bug \u00e9 atualizar o firmware dos fones de ouvido, desde que uma atualiza\u00e7\u00e3o esteja dispon\u00edvel. Normalmente, voc\u00ea pode verificar e instalar atualiza\u00e7\u00f5es por meio do aplicativo oficial complementar do fone de ouvido. Os pesquisadores compilaram uma lista de dispositivos vulner\u00e1veis em seu site<\/a>, mas \u00e9 quase certo que ela n\u00e3o esteja completa.<\/p>\n

Depois de atualizar o firmware, \u00e9 imprescind\u00edvel realizar uma restaura\u00e7\u00e3o de f\u00e1brica para apagar a lista de dispositivos pareados, incluindo todos os dispositivos indesejados.<\/p>\n

Se n\u00e3o houver atualiza\u00e7\u00e3o de firmware dispon\u00edvel e voc\u00ea estiver usando seu fone de ouvido com iOS, macOS, Windows ou Linux, sua \u00fanica op\u00e7\u00e3o \u00e9 encontrar um smartphone Android (ou pedir a um amigo de confian\u00e7a que tenha um) e us\u00e1-lo para reivindicar a fun\u00e7\u00e3o de propriet\u00e1rio original. Isso impedir\u00e1 que qualquer outra pessoa adicione seus fones de ouvido ao Google Find Hub sem o seu conhecimento.<\/p>\n

A atualiza\u00e7\u00e3o do Google<\/h2>\n

Em janeiro de 2026, o Google lan\u00e7ou uma atualiza\u00e7\u00e3o do Android para corrigir a vulnerabilidade do sistema operacional. Infelizmente, os detalhes n\u00e3o foram divulgados, ent\u00e3o, resta apenas especular o que foi modificado internamente. Provavelmente, os smartphones atualizados n\u00e3o informar\u00e3o mais a localiza\u00e7\u00e3o de acess\u00f3rios sequestrados via WhisperPair para a rede do Google Find Hub. Mas, considerando que nem todos s\u00e3o exatamente r\u00e1pidos na instala\u00e7\u00e3o de atualiza\u00e7\u00f5es do Android, \u00e9 seguro afirmar que esse tipo de rastreamento por fone de ouvido continuar\u00e1 vi\u00e1vel por pelo menos mais alguns anos.<\/p>\n

Quer descobrir de que outras maneiras seus dispositivos eletr\u00f4nicos podem estar espionando voc\u00ea? Confira estas postagens:<\/p>\n