Исследователи из Университета Ку-Лёвен обнаружили серьезные недостатки в технологии Fast Pair от Google, предназначенной для упрощения подключения Bluetooth-устройств. Эти уязвимости, получившие название «WhisperPair», могут позволить злоумышленникам перехватывать управление аудиоустройствами – включая наушники и беспроводные гарнитуры – на расстоянии до 14 метров.
Объяснение уязвимости
Fast Pair, представленная в 2017 году, призвана упростить сопряжение Bluetooth на Android и Chrome OS всего одним касанием. Однако исследователи выяснили, что реализация содержит слабые места, обходящие стандартные протоколы безопасности. Это означает, что хакеры могут использовать процесс подключения для получения несанкционированного доступа к устройствам.
Угроза не теоретическая: исследователи успешно продемонстрировали эксплойт на продуктах от крупных производителей, таких как Sony, Harman и даже Google. Хотя Google утверждает, что исправила проблемы с помощью программных обновлений, исследователи подчеркивают, что многие устройства остаются уязвимыми.
Ответ Google и оставшиеся риски
Google признает недостатки и выпустила обновления для своих Pixel Buds Pro, а также уведомила других производителей в сентябре. Однако компания объясняет часть проблемы несоблюдением спецификаций Fast Pair сторонними разработчиками.
Основные опасения связаны с двумя ключевыми рисками:
- Перехват управления устройством: Злоумышленники могут взять под контроль аудиопоток, потенциально внедряя вредоносный контент или подслушивая разговоры.
- Отслеживание местоположения: Уязвимости также могут позволить хакерам отслеживать местоположение пользователя через сопряженные Bluetooth-устройства. Google утверждает, что выпустила исправление для предотвращения этой конкретной проблемы, но эффективность зависит от установки обновлений пользователями.
Что должны сделать пользователи
Исследователи получили вознаграждение в размере 15 000 долларов за свое открытие и согласились на 150-дневное окно раскрытия, чтобы Google успела развернуть патчи. Несмотря на эти усилия, команда предупреждает, что многие пользователи не знают о критических обновлениях безопасности.
Чтобы защитить себя, пользователям Bluetooth-устройств следует немедленно:
- Проверить наличие и установить последние обновления прошивки от производителя устройства.
- Проявлять осторожность при сопряжении новых устройств в общественных или многолюдных местах.
- Быть в курсе рекомендаций по безопасности от Google и других технологических компаний.
“Наши результаты показывают, как небольшая функция удобства использования может создать масштабные риски для безопасности и конфиденциальности сотен миллионов пользователей.” – Исследовательская группа WhisperPair
Эти уязвимости подчеркивают компромиссы между удобством и безопасностью в современных технологиях. Хотя Fast Pair упрощает взаимодействие с пользователем, она также вводит новые векторы атак, требующие постоянной бдительности как от производителей, так и от потребителей.
