Naukowcy z Uniwersytetu KU Leuven odkryli poważne wady w technologii Google Fast Pair, zaprojektowanej w celu ułatwienia łączenia urządzeń Bluetooth. Luki te, zwane „WhisperPair”, mogą umożliwić atakującym przejęcie kontroli nad urządzeniami audio, w tym słuchawkami i bezprzewodowymi zestawami słuchawkowymi, z odległości do 14 metrów.
Wyjaśnienie luki
Wprowadzona w 2017 roku funkcja Fast Pair ma na celu ułatwienie parowania Bluetooth w systemach Android i Chrome OS za pomocą jednego dotknięcia. Jednak badacze odkryli, że wdrożenie zawierało słabe punkty, które omijały standardowe protokoły bezpieczeństwa. Oznacza to, że hakerzy mogą wykorzystać proces połączenia do uzyskania nieautoryzowanego dostępu do urządzeń.
Zagrożenie nie jest teoretyczne: badacze z powodzeniem zademonstrowali exploit w produktach największych producentów, takich jak Sony, Harman, a nawet Google. Chociaż Google twierdzi, że rozwiązało problemy poprzez aktualizacje oprogramowania, badacze podkreślają, że wiele urządzeń pozostaje podatnych na ataki.
Reakcja Google i pozostałe zagrożenia
Google przyznaje się do niedociągnięć i opublikował aktualizacje swoich słuchawek Pixel Buds Pro, a we wrześniu powiadomił innych producentów. Jednak firma przypisuje część problemu nieprzestrzeganiu specyfikacji Fast Pair przez zewnętrznych programistów.
Główne obawy dotyczą dwóch kluczowych zagrożeń:
- Przejęcie urządzenia: osoby atakujące mogą przejąć kontrolę nad strumieniem audio, potencjalnie wprowadzając złośliwą zawartość lub podsłuchując rozmowy.
- Śledzenie lokalizacji: Luki mogą również umożliwić hakerom śledzenie lokalizacji użytkownika za pomocą sparowanych urządzeń Bluetooth. Google twierdzi, że wydało poprawkę zapobiegającą temu konkretnemu problemowi, ale skuteczność zależy od użytkowników instalujących aktualizacje.
Co użytkownicy powinni zrobić
Badacze otrzymali nagrodę w wysokości 15 000 dolarów za swoje odkrycie i zgodzili się na 150-dniowy okres na ujawnienie informacji, aby dać Google czas na wdrożenie poprawek. Pomimo tych wysiłków zespół ostrzega, że wielu użytkowników nie jest świadomych istnienia krytycznych aktualizacji zabezpieczeń.
Aby się zabezpieczyć, użytkownicy urządzeń Bluetooth powinni natychmiast:
- Sprawdź i zainstaluj najnowsze aktualizacje oprogramowania sprzętowego od producenta urządzenia.
- Zachowaj ostrożność podczas parowania nowych urządzeń w miejscach publicznych lub zatłoczonych.
- Bądź na bieżąco z zaleceniami dotyczącymi bezpieczeństwa Google i innych firm technologicznych.
„Nasze wyniki pokazują, jak niewielka funkcjonalność może stworzyć ogromne ryzyko dla bezpieczeństwa i prywatności setek milionów użytkowników”. – Grupa Badawcza WhisperPair
Luki te uwydatniają kompromisy pomiędzy wygodą i bezpieczeństwem w nowoczesnej technologii. Chociaż Fast Pair upraszcza doświadczenia użytkownika, wprowadza także nowe wektory ataków, które wymagają stałej czujności zarówno ze strony producentów, jak i konsumentów.
