Μια ομάδα ερευνητών ανακάλυψε μια κρίσιμη ευπάθεια στην τεχνολογία Fast Pair της Google, η οποία επιτρέπει στους επιτιθέμενους να παρακολουθούν την τοποθεσία του θύματος παραβιάζοντας τα ακουστικά ή τα ηχεία του. Όπως αναφέρθηκε για πρώτη φορά από το Wired, το ελάττωμα ανακαλύφθηκε από ερευνητές του Πανεπιστημίου KU Leuven του Βελγίου, οι οποίοι το ονόμασαν WhisperPair. Επηρεάζει ακουστικά Bluetooth από μια σειρά μαρκών που υποστηρίζουν το Fast Pair, όπως Sony, Google, OnePlus, Nothing, Xiaomi, Marshall, Anker, Jabra και Harman. (Δείτε τη λίστα παρακάτω) Το ελάττωμα έγκειται στον τρόπο με τον οποίο ορισμένες εταιρείες έχουν εφαρμόσει το πρωτόκολλο Fast Pair. Για να ξεκινήσει η σύζευξη, ένα τηλέφωνο ή ένας φορητός υπολογιστής στέλνει ένα μήνυμα στα ακουστικά. Εάν δεν βρίσκονται σε λειτουργία σύζευξης, θα πρέπει να απορρίψουν το αίτημα. Ωστόσο, οι ερευνητές διαπίστωσαν ότι οι ευάλωτες συσκευές δεν απορρίπτουν αυτά τα αιτήματα, επιτρέποντας σε μη εξουσιοδοτημένα άτομα να ολοκληρώσουν τη διαδικασία σύζευξης χωρίς τη συγκατάθεση του χρήστη. Για να πραγματοποιήσει την επίθεση WhisperPair, ένας χάκερ χρειάζεται μόνο 10 δευτερόλεπτα σε απόσταση 14 μέτρων από τη συσκευή Bluetooth. Μόλις αποκτήσουν πρόσβαση, έχουν τον πλήρη έλεγχο της συσκευής. Μπορούν να αυξήσουν την ένταση, να αλλάξουν κομμάτια ή ακόμα και να ηχογραφήσουν μια συνομιλία. Το χειρότερο είναι ότι, εάν τα ακουστικά υποστηρίζουν το δίκτυο Find Hub της Google, μπορούν επίσης να παρακολουθούν την τοποθεσία του χρήστη. Οι ερευνητές μοιράστηκαν τα ευρήματά τους με την Google τον Αύγουστο, έλαβαν αμοιβή 15.000 δολαρίων και δημοσίευσαν τη μελέτη τους μετά από μια περίοδο 150 ημερών μη δημοσιοποίησης. Η Google επιβεβαίωσε ότι το ελάττωμα οφειλόταν σε ακατάλληλη ενσωμάτωση και δήλωσε ότι συνέστησε διορθώσεις στους κατασκευαστές τον Σεπτέμβριο. «Συνεργαστήκαμε με αυτούς τους ερευνητές για να διορθώσουμε αυτές τις ευπάθειες και δεν έχουμε δει ενδείξεις εκμετάλλευσης εκτός του εργαστηριακού περιβάλλοντος αυτής της έκθεσης», δήλωσε εκπρόσωπος της εταιρείας στο Engadget. Τόσο η Google όσο και οι ερευνητές συνιστούν στους χρήστες που διατρέχουν κίνδυνο να εγκαταστήσουν την τελευταία ενημέρωση υλικολογισμικού για τις συσκευές ήχου τους. «Ο μόνος τρόπος για να αποτρέψετε τις επιθέσεις WhisperPair είναι να πραγματοποιήσετε μια ενημέρωση λογισμικού», αναφέρουν οι ερευνητές. Ποια ακουστικά και earbuds διατρέχουν κίνδυνο; Οι ερευνητές έχουν παράσχει μια λίστα με τα μοντέλα που διατρέχουν κίνδυνο. Τα παρακάτω έχουν χαρακτηριστεί ως «ευάλωτα» από την ομάδα και πρέπει να ενημερωθούν. Η διαδικασία ενημέρωσης του firmware διαφέρει ανάλογα με τον κατασκευαστή. Ανατρέξτε στο εγχειρίδιο οδηγιών της συσκευής σας για περισσότερες λεπτομέρειες. Αρκετές άλλες συσκευές δεν είναι ευάλωτες στο WhisperPair, αλλά οι ερευνητές συνιστούν να τις διατηρείτε ενημερωμένες: Sonos Ace, Audio-Technica ATH-M20xBT, JBL Flip 6, Jabra Speak2 55 UC, Bose QC Ultra Headphones, Poly VFree 60 Series, Beosound A1 2nd Gen και Beats Solo Buds. Earbuds Anker Soundcore Liberty 4 NC Jabra Elite 8 Active JBL Tune Beam Marshall Motif II ANC Nothing Ear (a) OnePlus Nord Buds 3 Pro Pixel Buds Pro 2 Redmi Buds 5 Pro Sony WH-1000XM6 Sony WF-1000XM5 Ακουστικά Sony WH-1000XM5 Sony WH-CH720N Sony WH-1000XM4
