Forscher der Universität KU Leuven haben erhebliche Sicherheitslücken in der Fast Pair-Technologie von Google entdeckt, einer Funktion zur Vereinfachung von Bluetooth-Geräteverbindungen. Die als „WhisperPair“ bezeichneten Schwachstellen könnten es Angreifern ermöglichen, Audiogeräte – einschließlich Kopfhörer und Ohrhörer – aus einer Entfernung von bis zu 46 Fuß zu kapern.
Die Sicherheitslücke erklärt
Fast Pair wurde 2017 eingeführt und zielt darauf ab, die Bluetooth-Kopplung zwischen Android und Chrome OS mit einem einzigen Tastendruck zu optimieren. Allerdings stellten die Forscher fest, dass die Implementierung Schwachstellen aufweist, die Standard-Sicherheitsprotokolle umgehen. Dies bedeutet, dass Hacker den Verbindungsvorgang ausnutzen können, um sich unbefugten Zugriff auf Geräte zu verschaffen.
Die Bedrohung ist nicht theoretisch; Die Forscher demonstrierten den Exploit erfolgreich bei Produkten großer Hersteller wie Sony, Harman und sogar Google selbst. Während Google behauptet, die Probleme durch Software-Updates behoben zu haben, betonen die Forscher, dass viele Geräte weiterhin anfällig seien.
Reaktion von Google und verbleibende Risiken
Google erkennt die Mängel an und hat Updates für seine Pixel Buds Pro veröffentlicht und im September auch andere Hersteller darüber informiert. Allerdings führt das Unternehmen einen Teil des Problems auf Implementierungen von Drittanbietern zurück, die die Fast Pair-Spezifikationen nicht vollständig einhalten.
Die Hauptsorgen konzentrieren sich auf zwei Hauptrisiken:
- Geräteentführung: Angreifer können die Kontrolle über den Audiostream übernehmen und möglicherweise schädliche Inhalte einschleusen oder Gespräche abhören.
- Standortverfolgung: Die Schwachstellen könnten es Hackern auch ermöglichen, den Standort eines Benutzers über seine gekoppelten Bluetooth-Geräte zu verfolgen. Google gibt an, einen Fix eingeführt zu haben, um dieses spezielle Problem zu verhindern. Die Wirksamkeit hängt jedoch davon ab, ob Benutzer Updates anwenden.
Was Benutzer tun sollten
Die Forscher erhielten ein Kopfgeld von 15.000 US-Dollar für ihre Entdeckung und stimmten einer Offenlegungsfrist von 150 Tagen zu, um Google Zeit für die Bereitstellung von Patches zu geben. Trotz dieser Bemühungen warnt das Team, dass viele Benutzer wichtige Sicherheitsupdates nicht kennen.
Um sich zu schützen, sollten Benutzer von Bluetooth-Geräten sofort Folgendes tun:
- Suchen Sie nach den neuesten Firmware-Updates des Geräteherstellers und installieren Sie diese.
- Seien Sie vorsichtig, wenn Sie neue Geräte in öffentlichen oder überfüllten Bereichen koppeln.
- Bleiben Sie über Sicherheitshinweise von Google und anderen Technologieunternehmen auf dem Laufenden.
„Unsere Ergebnisse zeigen, wie ein kleines Usability-Add-on große Sicherheits- und Datenschutzrisiken für Hunderte Millionen Benutzer mit sich bringen kann.“ – WhisperPair-Forschungsgruppe
Die Schwachstellen verdeutlichen die Kompromisse zwischen Komfort und Sicherheit in der modernen Technologie. Während Fast Pair das Benutzererlebnis vereinfacht, führt es auch neue Angriffsvektoren ein, die sowohl von Herstellern als auch von Verbrauchern ständige Wachsamkeit erfordern.
