Pesquisadores da Universidade KU Leuven descobriram falhas de segurança significativas na tecnologia Fast Pair do Google, um recurso projetado para simplificar as conexões de dispositivos Bluetooth. As vulnerabilidades, apelidadas de “WhisperPair”, podem permitir que invasores sequestrem dispositivos de áudio – incluindo fones de ouvido – a até 15 metros de distância.
A vulnerabilidade explicada
O Fast Pair, lançado em 2017, tem como objetivo agilizar o emparelhamento Bluetooth no Android e no Chrome OS com um único toque. No entanto, os pesquisadores descobriram que a implementação contém pontos fracos que contornam os protocolos de segurança padrão. Isso significa que os hackers podem explorar o processo de conexão para obter acesso não autorizado aos dispositivos.
A ameaça não é teórica; os pesquisadores demonstraram com sucesso a exploração em produtos de grandes fabricantes como Sony, Harman e até mesmo o próprio Google. Embora o Google afirme ter resolvido os problemas por meio de atualizações de software, os pesquisadores enfatizam que muitos dispositivos permanecem vulneráveis.
Resposta do Google e riscos restantes
O Google reconhece as falhas e lançou atualizações para seus Pixel Buds Pro, além de avisar outros fabricantes em setembro. No entanto, a empresa atribui parte do problema a implementações de terceiros que não aderem totalmente às especificações do Fast Pair.
As principais preocupações giram em torno de dois riscos principais:
- Sequestro de dispositivo: Os invasores podem assumir o controle do fluxo de áudio, potencialmente injetando conteúdo malicioso ou espionando conversas.
- Rastreamento de localização: As vulnerabilidades também podem permitir que hackers rastreiem a localização de um usuário por meio de dispositivos Bluetooth emparelhados. O Google afirma que lançou uma correção para evitar esse problema específico, mas a eficácia depende da aplicação das atualizações pelos usuários.
O que os usuários devem fazer
Os pesquisadores receberam uma recompensa de US$ 15 mil por sua descoberta e concordaram com uma janela de divulgação de 150 dias para dar tempo ao Google para implantar patches. Apesar desses esforços, a equipe alerta que muitos usuários continuam inconscientes das atualizações críticas de segurança.
Para se protegerem, os usuários de dispositivos Bluetooth devem imediatamente:
- Verifique e instale as atualizações de firmware mais recentes do fabricante do dispositivo.
- Tenha cuidado ao emparelhar novos dispositivos em áreas públicas ou lotadas.
- Mantenha-se informado sobre os avisos de segurança do Google e de outras empresas de tecnologia.
“Nossas descobertas mostram como um pequeno ‘complemento’ de usabilidade pode introduzir riscos de segurança e privacidade em grande escala para centenas de milhões de usuários.” – Grupo de pesquisa WhisperPair
As vulnerabilidades destacam os compromissos entre conveniência e segurança na tecnologia moderna. Embora o Fast Pair simplifique a experiência do usuário, ele também introduz novos vetores de ataque que exigem vigilância contínua tanto dos fabricantes quanto dos consumidores.
