Seus fones de ouvido podem estar ouvindo: a vulnerabilidade do Bluetooth sobre a qual ninguém te avisou

Você está sentado em uma sala privada em seu café favorito, discutindo assuntos comerciais delicados com um parceiro. Se seus concorrentes soubessem o que foi dito, eles poderiam passar à sua frente – e você poderia perder muito dinheiro. A reunião corre bem e você volta para casa satisfeito. Mas no caminho, seu chefe liga. Alguém vazou toda a conversa para a concorrência. O contrato acabou. Você olha para o telefone, incapaz de compreender o que aconteceu. Como eles descobriram? A resposta pode estar na tecnologia Bluetooth. Alguém sentado a poucos metros de distância poderia explorar uma falha de segurança em seus fones de ouvido, conectar-se remotamente ao telefone e ouvir cada palavra.

No final do ano passado, os pesquisadores Dennis Heinze e Frieder Steinmetz, da empresa de segurança alemã ERNW demonstrado esse tipo de ataque ao vivo na conferência de hackers 39C3 em Hamburgo.

Veja como o ataque funciona: o invasor fica próximo com um laptop, procura sinais de Bluetooth e localiza os fones de ouvido da vítima. Eles se conectam sem qualquer notificação e usam comandos do protocolo RACE (Remote Access Control Engine) para identificar o tipo de chip e a versão do firmware. Eles então extraem a chave de criptografia – a chave que emparelha o dispositivo com o telefone da vítima – da memória dos fones de ouvido. Armado com esta chave, o invasor pode se passar inteiramente pelos fones de ouvido. O telefone da vítima não tem como saber a diferença.

A partir daí, o invasor tem acesso a tudo o que os fones de ouvido fazem. Eles podem espionar chamadas, obter o número de telefone e a lista de contatos da vítima, iniciar silenciosamente o Siri ou o Google Assistant e iniciar chamadas ocultas. Na conferência 39C3, os pesquisadores demonstraram como assumir o controle do WhatsApp e acessar uma conta da Amazon. As ferramentas necessárias para realizar o ataque foram publicados no GitHub. Tudo que você precisa é de um laptop normal.

Na raiz do problema está um bug nos chips fabricados pela empresa taiwanesa Airoha Technology. A falha permite que qualquer parte da memória do dispositivo seja lida ou gravada – incluindo as seções que armazenam dados confidenciais e chaves de criptografia. Nenhuma senha ou autenticação é necessária. Qualquer pessoa que se conectar ao dispositivo terá acesso total.

Os pesquisadores divulgaram a falha em março do ano passado. Airoha respondeu de forma relativamente rápida com patches de segurança. O maior problema eram os próprios fabricantes de fones de ouvido, que demoravam a se comunicar ou atrasavam o lançamento de atualizações. Alguns fones de ouvido da Sony, Bose, JBL e Marshall usam chips Airoha. Desde então, a maioria dos fabricantes emitiu correções, portanto, os usuários que mantêm seus fones de ouvido atualizados devem estar protegidos.

Dez segundos são suficientes para emparelhar com fones de ouvido estrangeiros

Para aumentar a preocupação, em 15 de janeiro de 2026, uma falha de segurança separada veio à tona – esta relacionada à tecnologia Google Fast Pair. O Fast Pair simplifica o emparelhamento de fones de ouvido Bluetooth com um telefone Android: aproxime os fones de ouvido e um prompt de emparelhamento aparecerá na tela.

As descobertas foram publicadas por uma equipe da Bélgica KU Leuven e seus pesquisadores Sayon Duttagupta e Seppe Wyns.

O Google Fast Pair exige explicitamente que os fones de ouvido só aceitem solicitações de emparelhamento durante o modo de emparelhamento – normalmente nos primeiros minutos após desembalar ou após uma ação deliberada do usuário. Mas os pesquisadores encontrado que muitos fabricantes ignoram totalmente esse requisito – seus fones de ouvido aceitam solicitações de emparelhamento a qualquer momento, de qualquer pessoa.

Um invasor não precisa de nada mais do que um laptop ou até mesmo um Raspberry Pi barato. Eles procuram fones de ouvido com o Fast Pair ativado e enviam uma solicitação de emparelhamento, que os fones de ouvido aceitam sem questionar. Em dez segundos, o dispositivo é emparelhado a até 14 metros de distância — sem necessidade de interação da vítima. Uma vez emparelhado, o invasor tem controle total: reprodução de áudio, gravação do microfone e acesso às configurações do dispositivo.

Mas a escuta clandestina é apenas parte da ameaça. Muitos fones de ouvido oferecem suporte ao Google Find Hub, um sistema para localizar dispositivos perdidos por meio de telefones Android próximos. Os pesquisadores descobriram que, se um par de fones de ouvido nunca tivesse sido registrado em uma conta Android, um invasor poderia reivindicá-los para sua própria conta do Google – e, a partir desse ponto, rastrear silenciosamente a localização da vítima através da rede de dispositivos Android próximos. A vítima poderia eventualmente receber um aviso sobre rastreamento indesejado, mas o alerta apontaria para seu próprio dispositivo como fonte. A maioria das pessoas presumiria que era uma falha. “O risco é o rastreamento contínuo, não um único incidente passageiro. É semelhante a encontrar uma AirTag desconhecida seguindo você”, disse Sayon Duttagupta, um dos pesquisadores por trás da descoberta, em comunicado ao investigace.cz. Dos 25 dispositivos testados em 16 fabricantes, dezessete – ou 68% – foram considerados vulneráveis.

O Google classificou a vulnerabilidade como crítica e premiado aos pesquisadores uma recompensa de US$ 15.000 (aproximadamente CZK 300.000).

Bluetooth fala dinamarquês

O que pode parecer uma ameaça hipotética assumiu dimensões muito reais na Dinamarca. Em 16 de janeiro de 2026 – apenas um dia após a publicação do estudo – a inteligência militar dinamarquesa (FE, Forsvarets Efterretningstjeneste) alertou as autoridades sobre o risco de escutas telefônicas baseadas em Bluetooth. No dia seguinte, o departamento de TI da Polícia Nacional distribuiu um memorando interno aos agentes de todo o país, instruindo-os a desativar imediatamente o Bluetooth em todos os dispositivos: telemóveis, tablets e computadores, tanto pessoais como de trabalho. Os kits viva-voz para carros deveriam ser desconectados. Fones de ouvido sem fio deveriam ser deixados de lado. Em vigor imediatamente e até novo aviso.

O memorando foi intitulado “Slå Bluetooth fra” – Desligue o Bluetooth. Ele sinalizou explicitamente o risco de espionagem por meio de fones de ouvido Bluetooth e AirPods. A directiva aplicava-se não apenas aos agentes da polícia, mas a todas as autoridades, agências e distritos policiais abrangidos.

Dois dias depois, o meio de comunicação dinamarquês Radar publicado as notícias.

De acordo com o Radar, alguns distritos introduziram uma proibição total, enquanto outros interpretaram a diretiva de forma mais flexível. Em todo o país, porém, os técnicos começaram a retirar fones de ouvido com fio do armazenamento e os departamentos de TI correram para encomendar alternativas com fio. Procurada pelo Radar, a FE afirmou que estava “apenas repassando um aviso do site Whisperpair.eu.” Esta não foi a avaliação independente da própria agência, enfatizou FE.

Fontes policiais anônimas, no entanto, contado Radar uma história diferente. Afirmaram que o “pânico” não foi motivado pela curiosidade académica e que a directiva estava enraizada num “incidente ou suspeita muito específico”.

Enquanto isso, os próprios pesquisadores foram pegos de surpresa. Sayon Duttagupta, pesquisador principal do projeto WhisperPair na KU Leuven, disse ao investigace.cz que a equipe não tinha conhecimento prévio da resposta do serviço de inteligência dinamarquês. “Nenhum serviço de inteligência dinamarquês ou agência governamental nos contactou a este respeito”, disse ele.

Antes da FE emitir a sua directiva, no entanto, a equipa foi abordada por alguém que se identificou como funcionário do Parlamento dinamarquês, que fez perguntas técnicas sobre como funciona o WhisperPair. “Respondemos por e-mail. Não recebemos nenhum feedback e nada indicava que o que compartilhamos seria usado como justificativa formal para ações políticas.”

Notavelmente, a diretiva da FE também nomeou explicitamente Apple AirPods – embora os AirPods não sejam afetados pelas vulnerabilidades do Google Fast Pair ou do chip Airoha. Os pesquisadores confirmaram isso. A proibição total dos dispositivos Apple reflecte a lógica da política institucional: é mais simples emitir orientações gerais que abranjam “todos os dispositivos Bluetooth” do que elaborar restrições específicas à tecnologia que exijam actualizações constantes.

Deveríamos ter medo?

O risco real de escuta por Bluetooth depende muito de quem você é. Todos os ataques descritos exigem que o atacante esteja fisicamente próximo – entre 10 e 14 metros. Dito isto, as ferramentas necessárias estão disponíveis gratuitamente no GitHub e um laptop padrão é tudo o que é necessário.

Para o usuário médio, o risco é baixo. Do ponto de vista económico, faz pouco sentido que um invasor atinja uma pessoa aleatória na rua. Existem vetores de ataque muito mais fáceis: phishing, malware, redes Wi-Fi desonestas.

Para jornalistas, ativistas e executivos empresariais, o risco é moderado. Alguém que se encontra repetidamente em sua órbita – um colega, um colega participante de uma conferência, um rosto familiar em seu café habitual – pode escutar discretamente com o tempo.

Para funcionários governamentais, diplomatas e agentes de inteligência, o risco é elevado. Os Estados-nação têm os recursos, a paciência e a capacidade operacional para garantir a proximidade física. O “incidente específico” dinamarquês enquadra-se bem neste perfil. Dito isto, os investigadores em Leuven não têm qualquer confirmação de que a vulnerabilidade tenha sido explorada em estado selvagem.

Proteja as pessoas, não o espaço

Há mais um aspecto surpreendente na resposta dinamarquesa: os dispositivos Bluetooth são há muito reconhecidos como um risco à segurança em ambientes sensíveis.

Portanto, é inteiramente lógico que as agências de segurança exijam rotineiramente que o Bluetooth seja desativado. Mas, historicamente, essas regras sempre se aplicaram a locais específicos – salas seguras, ambientes classificados.

americano SCIFs classificam o Bluetooth como de alto risco e exigem que qualquer uso em instalações seguras seja reduzido a um nível de risco aceitável – com o método específico deixado ao julgamento individual. O Tcheco NÚKIB (Agência Nacional de Segurança Cibernética e da Informação) determina que todas as tecnologias sem fio sejam desativadas em espaços classificados em todos os níveis de classificação, incluindo o mais baixo. A polícia britânica recomendar desligar o Bluetooth durante operações de contraterrorismo.

Mas uma vez fora de uma área segura, o pessoal sempre esteve livre para usar seus dispositivos normalmente. A Dinamarca agora é diferente. Pela que parece ser a primeira vez em qualquer país da NATO ou da UE, a proibição estende-se a toda a utilização de Bluetooth relacionada com o trabalho – em veículos, em casa e em movimento. Não existe regulamentação comparável em nenhum outro lugar da aliança.

No final de fevereiro de 2026, a diretiva continua em vigor.

Este artigo foi publicado originalmente em tcheco em Investigace.cz.