Výzkumníci z KU Leuven University objevili vážné nedostatky v technologii Fast Pair společnosti Google, která má usnadnit připojení zařízení Bluetooth. Tyto zranitelnosti, nazývané „WhisperPair“, by mohly útočníkům umožnit převzít kontrolu nad zvukovými zařízeními – včetně sluchátek a bezdrátových náhlavních souprav – až na vzdálenost 14 metrů.
Vysvětlení zranitelnosti
Fast Pair, představený v roce 2017, si klade za cíl usnadnit párování Bluetooth v systémech Android a Chrome OS jediným klepnutím. Vědci však zjistili, že implementace obsahovala slabiny, které obcházely standardní bezpečnostní protokoly. To znamená, že hackeři mohou využít proces připojení k získání neoprávněného přístupu k zařízením.
Hrozba není teoretická: výzkumníci úspěšně demonstrovali zneužití na produktech velkých výrobců, jako jsou Sony, Harman a dokonce i Google. Zatímco Google tvrdí, že problémy vyřešil prostřednictvím aktualizací softwaru, výzkumníci zdůrazňují, že mnoho zařízení zůstává zranitelných.
Reakce společnosti Google a zbývající rizika
Google uznává nedostatky a vydal aktualizace svých Pixel Buds Pro a v září informoval ostatní výrobce. Společnost však připisuje část problému nedodržení specifikací Fast Pair ze strany vývojářů třetích stran.
Hlavní obavy se týkají dvou klíčových rizik:
- Převzetí zařízení: Útočníci mohou převzít kontrolu nad zvukovým tokem, potenciálně vkládat škodlivý obsah nebo odposlouchávat konverzace.
- Sledování polohy: Tyto chyby zabezpečení by také mohly hackerům umožnit sledovat polohu uživatele prostřednictvím spárovaných zařízení Bluetooth. Google říká, že vydal opravu, aby se tomuto konkrétnímu problému zabránilo, ale účinnost závisí na uživatelích, kteří instalují aktualizace.
Co by uživatelé měli dělat
Výzkumníci za svůj objev dostali odměnu 15 000 dolarů a souhlasili se 150denním oknem pro zveřejnění, aby měl Google čas na zavedení oprav. Navzdory těmto snahám tým varuje, že mnoho uživatelů neví o kritických aktualizacích zabezpečení.
Aby se uživatelé zařízení Bluetooth chránili, měli by okamžitě:
- Zkontrolujte a nainstalujte nejnovější aktualizace firmwaru od výrobce zařízení.
- Při párování nových zařízení na veřejných nebo přeplněných místech buďte opatrní.
- Udržujte si aktuální informace o bezpečnostních doporučeních od společnosti Google a dalších technologických společností.
„Naše výsledky ukazují, jak může malá funkce použitelnosti vytvořit masivní bezpečnostní a soukromí pro stovky milionů uživatelů.“ – WhisperPair Research Group
Tyto chyby zabezpečení zdůrazňují kompromisy mezi pohodlím a bezpečností v moderní technologii. Zatímco Fast Pair zjednodušuje uživatelskou zkušenost, zavádí také nové vektory útoků, které vyžadují neustálou ostražitost ze strany výrobců i spotřebitelů.
