Dutch journalist Just Vervaart, working for regional media network Omroep Gelderland, followed the directions posted on the Dutch government website and mailed a postcard with a hidden tracker inside. Because of this, they were able to track the ship for about a day, watching it sail from Heraklion, Crete, before it turned towards Cyprus. While it only showed the location of that one vessel, knowing that it was part of a carrier strike group sailing in the Mediterranean could potentially put the entire fleet at risk.
[…]
Navy officials reported that the tracker was discovered within 24 hours of the ship’s arrival, during mail sorting, and was eventually disabled. Because of this incident, the Dutch authorities now ban electronic greeting cards, which, unlike packages, weren’t x-rayed before being brought on the ship.
Can a remote software attack send a power wheelchair tumbling down a staircase? Sadly: the answer is “yes.” Check out our latest podcast interview with Billy Rios and Brandon Rothel of QED Secure Solutions. Billy and Brandon discuss their research into security flaws in power wheelchairs by the Japanese firm WHILL.
Uma vulnerabilidade recém-descoberta, chamada WhisperPair, pode transformar fones de ouvido e headsets Bluetooth de diversas marcas conhecidas em dispositivos pessoais de rastreamento, mesmo se os acessórios estiverem conectados a um iPhone, smartphone Android ou em um laptop. Embora a tecnologia por trás dessa falha tenha sido originalmente desenvolvida pelo Google para dispositivos Android, os riscos de rastreamento são, na verdade, muito maiores para aqueles que usam fones de ouvido vulneráveis com outros sistemas operacionais, como iOS, macOS, Windows ou Linux. Para os usuários de iPhone, isso é ainda mais preocupante.
A conexão de fones de ouvido Bluetooth em smartphones Android ficou muito mais rápida quando o Google lançou o Fast Pair, uma tecnologia agora usada por dezenas de fabricantes de acessórios. Para parear um novo fone de ouvido, basta ligá-lo e segurá-lo próximo ao telefone. Se o dispositivo for relativamente moderno (produzido após 2019), será exibida uma janela pop-up convidando você a se conectar e baixar o aplicativo correspondente, caso exista. Basta um toque para começar.
Infelizmente, parece que muitos fabricantes não prestaram atenção aos detalhes dessa tecnologia ao implementá-la, e agora seus acessórios podem ser invadidos pelo smartphone de um estranho em segundos, mesmo que o fone de ouvido não esteja no modo de pareamento. Esse é o núcleo da vulnerabilidade do WhisperPair, recentemente descoberta por pesquisadores da KU Leuven e registrada como CVE-2025-36911.
O dispositivo de ataque (que pode ser um smartphone, tablet ou laptop padrão) transmite as solicitações do Google Fast Pair para qualquer dispositivo Bluetooth em um raio de 14 metros. Ao que tudo indica, uma longa lista de fones de ouvido da Sony, JBL, Redmi, Anker, Marshall, Jabra, OnePlus e, até mesmo do próprio Google (os Pixel Buds 2), responde a esses sinais mesmo quando não estão tentando parear. Em média, o ataque leva apenas 10 segundos.
Depois que os fones de ouvido são pareados, o invasor pode fazer praticamente tudo o que o proprietário pode: ouvir pelo microfone, reproduzir música em alto volume ou, em alguns casos, localizar os fones de ouvido em um mapa, se forem compatíveis com o Google Find Hub. Esse último recurso, projetado exclusivamente para encontrar fones de ouvido perdidos, cria uma oportunidade perfeita para rastreamento remoto furtivo. E aqui está a reviravolta: na verdade, é mais perigoso para usuários da Apple e qualquer outra pessoa que use hardware que não seja Android.
Rastreamento remoto e os riscos para iPhones
Quando fones de ouvido ou um headset são conectados pela primeira vez a um dispositivo Android por meio do protocolo Fast Pair, uma chave de proprietário vinculada à conta do Google desse smartphone é armazenada na memória do acessório. Essas informações permitem que os fones de ouvido sejam encontrados posteriormente, aproveitando os dados coletados de milhões de dispositivos Android. Se algum smartphone aleatório detectar o dispositivo alvo nas proximidades via Bluetooth, ele informará sua localização aos servidores do Google. Esse recurso, o Google Find Hub, é essencialmente a versão Android do Find My da Apple e apresenta os mesmos riscos de rastreamento não autorizados que um AirTag não autorizado.
Quando um invasor sequestra o pareamento, a chave pode ser salva como a chave do proprietário do fone de ouvido, mas somente se o fone de ouvido visado pelo WhisperPair não tiver sido previamente vinculado a um dispositivo Android e tiver sido usado apenas com um iPhone, ou com outro hardware, como um laptop com um sistema operacional diferente. Depois que os fones de ouvido são pareados, o invasor pode rastrear a localização deles em um mapa quando quiser; essencialmente, em qualquer lugar (não apenas dentro do alcance de 14 metros).
Os usuários do Android que já usaram o Fast Pair para vincular seus fones de ouvido vulneráveis estão protegidos contra essa mudança específica, pois já estão conectados como proprietários oficiais. Todos os outros, no entanto, provavelmente devem verificar novamente a documentação do fabricante para ver se estão livres de riscos. Felizmente, nem todos os dispositivos vulneráveis à exploração realmente são compatíveis com o Google Find Hub.
Como neutralizar a ameaça do WhisperPair
A única maneira realmente eficaz de corrigir esse bug é atualizar o firmware dos fones de ouvido, desde que uma atualização esteja disponível. Normalmente, você pode verificar e instalar atualizações por meio do aplicativo oficial complementar do fone de ouvido. Os pesquisadores compilaram uma lista de dispositivos vulneráveis em seu site, mas é quase certo que ela não esteja completa.
Depois de atualizar o firmware, é imprescindível realizar uma restauração de fábrica para apagar a lista de dispositivos pareados, incluindo todos os dispositivos indesejados.
Se não houver atualização de firmware disponível e você estiver usando seu fone de ouvido com iOS, macOS, Windows ou Linux, sua única opção é encontrar um smartphone Android (ou pedir a um amigo de confiança que tenha um) e usá-lo para reivindicar a função de proprietário original. Isso impedirá que qualquer outra pessoa adicione seus fones de ouvido ao Google Find Hub sem o seu conhecimento.
A atualização do Google
Em janeiro de 2026, o Google lançou uma atualização do Android para corrigir a vulnerabilidade do sistema operacional. Infelizmente, os detalhes não foram divulgados, então, resta apenas especular o que foi modificado internamente. Provavelmente, os smartphones atualizados não informarão mais a localização de acessórios sequestrados via WhisperPair para a rede do Google Find Hub. Mas, considerando que nem todos são exatamente rápidos na instalação de atualizações do Android, é seguro afirmar que esse tipo de rastreamento por fone de ouvido continuará viável por pelo menos mais alguns anos.
Quer descobrir de que outras maneiras seus dispositivos eletrônicos podem estar espionando você? Confira estas postagens:
In episode 451 of "Smashing Security," we meet the cybercriminal who hacked the US Supreme Court, Veterans Affairs, and more - and then helpfully posted screenshots (and even someone’s blood type) on an account called "I hacked the government."
Plus we discuss how researchers uncovered a creepy flaw that lets attackers hijack wireless headphones, listen in on calls, inject audio, and even turn your earbuds into a stalking device - all without you noticing.
All this, and much more, in this episode of the "Smashing Security" podcast with Graham Cluley, and special guest Ray [REDACTED]
WhisperPair is a set of attacks that lets an attacker hijack many popular Bluetooth audio accessories that use Google Fast Pair and, in some cases, even track their location via Google’s Find Hub network—all without requiring any user interaction.
Researchers at the Belgian University of Leuven revealed a collection of vulnerabilities they found in audio accessories that use Google’s Fast Pair protocol. The affected accessories are sold by 10 different companies: Sony, Jabra, JBL, Marshall, Xiaomi, Nothing, OnePlus, Soundcore, Logitech, and Google itself.
Google Fast Pair is a feature that makes pairing Bluetooth earbuds, headphones and similar accessories with Android devices quick and seamless, and syncs them across a user’s Google account.
The Google Fast Pair Service (GFPS) utilizes Bluetooth Low Energy (BLE) to discover nearby Bluetooth devices. Many big-name audio brands use Fast Pair in their flagship products, so the potential attack surface consists of hundreds of millions of devices.
The weakness lies in the fact that Fast Pair skips checking whether a device is in pairing mode. As a result, a device controlled by an attacker, such as a laptop, can trigger Fast Pair even when the earbuds are sitting in a user’s ear or pocket, then quickly complete a normal Bluetooth pairing and take full control.
What that control enables depends on the capabilities of the hijacked device. This can range from playing disturbing noises to recording audio via built-in microphones.
It gets worse if the attacker is the first to pair the accessory with an Android device. In that case, the attacker’s Owner Account Key–designating their Google account as the legitimate owner’s—to the accessory. If the Fast Pair accessory also supports Google’s Find Hub network, which many people use to locate lost items, the attacker may then be able to track the accessory’s location.
Google classified this vulnerability, tracked under CVE‑2025‑36911, as critical. However, the only real fix is a firmware or software update from the accessory manufacturer, so users need to check with their specific brand and install accessory updates, as updating the phone alone does not fix the issue.
How to stay safe
To find out whether your device is vulnerable, the researchers published a list and recommend keeping all accessories updated. The research team tested 25 commercial devices from 16 manufacturers using 17 different Bluetooth chipsets. They were able to take over the connection and eavesdrop on the microphone on 68% of the tested devices.
These are the devices the researchers found to be vulnerable, but it’s possible that others are affected as well:
Anker soundcore Liberty 4 NC
Google Pixel Buds Pro 2
JBL TUNE BEAM
Jabra Elite 8 Active
Marshall MOTIF II A.N.C.
Nothing Ear (a)
OnePlus Nord Buds 3 Pro
Sony WF-1000XM5
Sony WH-1000XM4
Sony WH-1000XM5
Sony WH-1000XM6
Sony WH-CH720N
Xiaomi Redmi Buds 5 Pro
We don’t just report on phone security—we provide it
Pairing Bluetooth devices can be a pain, but Google Fast Pair makes it almost seamless. Unfortunately, it may also leave your headphones vulnerable to remote hacking. A team of security researchers from Belgium’s KU Leuven University has revealed a vulnerability dubbed WhisperPair that allows an attacker to hijack Fast Pair-enabled devices to spy on the owner.
Fast Pair is widely used, and your device may be vulnerable even if you've never used a Google product. The bug affects more than a dozen devices from 10 manufacturers, including Sony, Nothing, JBL, OnePlus, and Google itself. Google has acknowledged the flaw and notified its partners of the danger, but it's up to these individual companies to create patches for their accessories. A full list of vulnerable devices is available on the project's website.
The researchers say that it takes only a moment to gain control of a vulnerable Fast Pair device (a median of just 10 seconds) at ranges up to 14 meters. That's near the limit of the Bluetooth protocol and far enough that the target wouldn't notice anyone skulking around while they hack headphones.
Imagine que convidaram você para um jogo de pôquer privado com atletas famosos. Em quem você confiaria mais para embaralhar as cartas: em um crupiê ou em um dispositivo automatizado especializado? Fundamentalmente, essa questão se resume ao que você mais acredita: na honestidade do crupiê ou na confiabilidade da máquina. É provável que muitos jogadores de pôquer prefiram o dispositivo especializado, já que é muito mais difícil subornar ou coagir uma máquina do que um ser humano. No entanto, em 2023, pesquisadores de segurança cibernética demonstraram que um dos modelos mais populares, o DeckMate 2, fabricado pela Light & Wonder, é, na verdade, muito fácil de hackear.
Dois anos depois, a polícia encontrou vestígios de manipulação desses dispositivos não em um laboratório, mas em estabelecimentos. Esta postagem detalha como o embaralhador DeckMate 2 funciona, por que seu design facilita a trapaça, como os criminosos usaram o hack e o que o basquete tem a ver com tudo isso.
Como funciona o embaralhador automático de cartas DeckMate 2
O embaralhador automático DeckMate 2 começou a ser fabricado em 2012. Desde então, ele se tornou um dos modelos mais populares, usado em quase todos os principais cassinos e clubes de pôquer privados do mundo. O dispositivo é uma caixa preta, quase do tamanho de uma fragmentadora de papel comum, geralmente instalada sob a mesa de pôquer.
O DeckMate 2 é um embaralhador automático de cartas profissional que mistura rapidamente o baralho enquanto verifica se todas as 52 cartas estão presentes e se nenhuma carta extra foi inserida. Fonte
Na superfície da mesa, é possível ver apenas um pequeno compartimento onde as cartas são colocadas para serem embaralhadas. É provável que a maioria dos jogadores comuns não perceba que a parte “submersa” do “iceberg” é muito maior e mais complexa do que parece à primeira vista.
É assim que o DeckMate 2 se parece quando é instalado em uma mesa de jogo: a parte divertida está escondida sob a superfície. Fonte
Depois que o crupiê coloca o baralho dentro do DeckMate 2, a máquina faz as cartas passarem pelo módulo de leitura, uma a uma. Nesse estágio, o dispositivo verifica se o baralho contém todas as 52 cartas e nada além delas. Se houver algo fora do normal, a tela conectada exibirá um alerta. Depois, a máquina embaralha as cartas e devolve o baralho ao crupiê.
O DeckMate 2 leva apenas 22 segundos para embaralhar e verificar as cartas. A verificação de cartas ausentes ou extras é feita por uma câmera interna que confere todas. Ela também participa da ordenação do baralho. É difícil imaginar o uso prático desse último recurso em jogos de cartas. Supõe-se que os designers o adicionaram apenas porque podiam.
Seguindo adiante, foi exatamente essa câmera que literalmente permitiu que pesquisadores e infratores visualizassem a sequência das cartas. O modelo anterior, chamado Deck Mate, não tinha essa câmera e, portanto, não oferecia uma maneira de espiar a ordem das cartas.
Para impedir a ação de hackers, o DeckMate 2 utiliza uma verificação de hash que garante que o software permaneça inalterado após a instalação. Na inicialização, o dispositivo calcula o hash do firmware e o compara com a referência armazenada na sua memória. Se os valores coincidirem, a máquina entende que o firmware está íntegro e prossegue. Caso contrário, identifica uma tentativa de adulteração.
Além disso, o design do DeckMate 2 inclui uma porta USB, que é usada para carregar atualizações de firmware. Os dispositivos DeckMate 2 também podem ser alugados da Light & Wonder em um modelo de pagamento por uso, em vez de adquiridos. Nesse caso, é comum eles estarem equipados com um modem celular que transmite dados de uso ao fabricante para fins de cobrança.
Como os pesquisadores conseguiram comprometer o DeckMate 2
Os leitores de longa data do nosso blog provavelmente já detectaram várias falhas no design do DeckMate 2 que foram exploradas pelos pesquisadores para sua prova de conceito. Eles fizeram uma demonstração na conferência de segurança cibernética Black Hat em 2023.
A primeira etapa do ataque foi conectar um pequeno dispositivo à porta USB. Para a prova de conceito, os pesquisadores usaram um microcomputador Raspberry Pi, que é menor do que a palma da mão de um adulto. No entanto, eles observaram que, com recursos suficientes, os infratores conseguem executar o mesmo ataque usando um módulo ainda mais compacto, que tem o tamanho de uma unidade flash USB padrão.
Depois de conectado, o dispositivo modificava o código do DeckMate 2 e assumia o controle. Isso também concedeu aos pesquisadores acesso à câmera interna mencionada acima, usada para verificar o baralho. Agora eles conseguiam visualizar a ordem exata das cartas no baralho em tempo real.
Essas informações foram transmitidas via Bluetooth para um celular próximo, onde um app experimental mostrava a sequência das cartas.
O aplicativo experimental criado pelos pesquisadores: recebe a ordem das cartas do DeckMate 2 hackeado via Bluetooth.Fonte
O sucesso do golpe depende do fato de que o cúmplice do trapaceiro mantém o celular com o app instalado. Essa pessoa pode então usar gestos discretos para o jogador trapaceiro.
O que permitiu aos pesquisadores obter esse grau de controle sobre o DeckMate 2 foi uma vulnerabilidade nas suas senhas embutidas no código. Para os testes, eles compraram vários embaralhadores usados, e um dos vendedores forneceu a eles a senha de manutenção do DeckMate 2. Os pesquisadores extraíram as senhas restantes diretamente do firmware, incluindo a senha de root.
Essas senhas de sistema no DeckMate 2 são definidas pelo fabricante e devem ser iguais em todos os aparelhos. Enquanto estudavam o código do firmware, os pesquisadores descobriram que as senhas estavam embutidas no sistema, tornando-as difíceis de alterar. Como resultado, o mesmo conjunto de senhas, conhecido por muita gente, provavelmente protege a maioria das máquinas em circulação. Isso significa que quase todos os dispositivos estão potencialmente vulneráveis ao ataque desenvolvido pelos pesquisadores.
Para burlar a verificação de hash, os pesquisadores simplesmente substituíram o hash de referência armazenado na memória. Na inicialização, o dispositivo calcularia o hash do código alterado, compararia com o valor também alterado e aceitaria o firmware como autêntico.
Os pesquisadores também notaram que modelos com modem celular poderiam ser invadidos remotamente por meio de uma estação falsa, enganando o dispositivo em vez de usar uma torre real. Embora eles não tenham testado a viabilidade desse vetor, ele não parece improvável.
Como a máfia manipulou máquinas DeckMate 2 em jogos de pôquer reais
Dois anos depois, os avisos dos pesquisadores receberam uma confirmação no mundo real. Em outubro de 2025, o Departamento de Justiça dos EUA indiciou 31 pessoas por fraudarem vários jogos de pôquer. De acordo com os documentos do caso, nesses jogos, um grupo criminoso usou vários meios técnicos para obter informações sobre as cartas dos adversários.
Esses meios incluíam cartas com marcações invisíveis detectáveis por telefones, óculos especiais e lentes de contato capazes de ler essas marcas secretamente. Mas, para o contexto desta postagem, o ponto essencial é que os golpistas também invadiram máquinas DeckMate 2, programadas para transmitir secretamente quais cartas seriam distribuídas a cada jogador.
E é aqui que finalmente vamos falar sobre basquete e atletas da NBA. De acordo com a acusação, o esquema envolveu membros de várias famílias da máfia e ex-jogadores da NBA.
A investigação revelou que os golpistas organizaram vários jogos de pôquer de alto risco ao longo de muitos anos em diversas cidades dos EUA. Vítimas ricas foram atraídas pela oportunidade de jogar com estrelas da NBA (que negamqualquer irregularidade). Os investigadores estimam que as vítimas perderam mais de US$ 7 milhões.
Os documentos divulgados contêm um relato minucioso de como os golpistas usaram máquinas DeckMate 2 hackeadas. Em vez de alterar dispositivos DeckMate 2 de terceiros via USB (como demonstrado pelos pesquisadores), os criminosos usaram unidades já hackeadas. Houve até mesmo um caso em que membros da máfia apontaram uma arma para uma pessoa e tomaram seu dispositivo comprometido.
Apesar dessa modificação peculiar, o essencial do ataque seguiu quase igual à prova de conceito dos pesquisadores. As máquinas comprometidas do DeckMate 2 repassaram dados a um operador remoto, que os encaminhou ao telefone de um dos participantes. Os criminosos chamavam esse operador de “quarterback”. O golpista então usava sinais sutis para influenciar o jogo.
O que podemos aprender com essa história
Os fabricantes do DeckMate 2 afirmaram aos jornalistas que, após a pesquisa sobre a vulnerabilidade do dispositivo, implementaram várias alterações no hardware e no software. Essas melhorias incluíram desativar a porta USB exposta e atualizar as rotinas de verificação do firmware. Certamente, os cassinos licenciados já instalaram essas atualizações. Bem, esperamos que sim.
No entanto, a integridade desses dispositivos usados em clubes de pôquer privados e cassinos ilegais segue bastante duvidosa. Esses locais costumam usar máquinas DeckMate 2 usadas sem atualizações ou manutenção, tornando-as mais vulneráveis. E isso sem considerar quando o próprio estabelecimento pode querer manipular as máquinas.
Apesar de todos os detalhes intrigantes do hack do DeckMate 2, os precursores são comuns: senhas reutilizadas, uma porta USB e, claro, jogos não licenciados. A este respeito, o único conselho para entusiastas de jogos é evitar clubes ilegais.
A principal lição desta história é que senhas padrão devem ser trocadas em qualquer dispositivo, seja um roteador Wi-Fi ou um embaralhador de cartas. Para gerar uma senha forte e exclusiva e ser capaz de lembrá-la, use um gerenciador de senhas confiável. A propósito, você também pode usar o Kaspersky Password Manager para gerar códigos de uso único para autenticação em duas etapas.
Entrar
