Дослідники з Університету Ку-Льовен виявили серйозні недоліки в технології Fast Pair від Google, що призначена для спрощення підключення Bluetooth-пристроїв. Ці вразливості, що отримали назву “WhisperPair”, можуть дозволити зловмисникам перехоплювати управління аудіопристроями – включаючи навушники та бездротові гарнітури – на відстані до 14 метрів.
Пояснення вразливості
Fast Pair, представлена в 2017 році, покликана спростити пару Bluetooth на Android і Chrome OS лише одним дотиком. Проте дослідники з’ясували, що реалізація містить слабкі місця, що обходять стандартні протоколи безпеки. Це означає, що хакери можуть використовувати процес підключення для отримання несанкціонованого доступу до пристроїв.
Загроза не теоретична: дослідники успішно продемонстрували експлойт на продуктах великих виробників, таких як Sony, Harman і навіть Google. Хоча Google стверджує, що виправила проблеми за допомогою програмних оновлень, дослідники наголошують, що багато пристроїв залишаються вразливими.
Відповідь Google і ризики, що залишилися
Google визнає недоліки та випустила оновлення для своїх Pixel Buds Pro, а також повідомила інших виробників у вересні. Проте компанія пояснює частину проблеми недотриманням специфікацій Fast Pair сторонніми розробниками.
Основні побоювання пов’язані з двома ключовими ризиками:
- Перехоплення керування пристроєм: Зловмисники можуть взяти під контроль аудіопотік, потенційно впроваджуючи шкідливий контент або підслуховуючи розмови.
- Відстеження розташування: Уразливості також можуть дозволити хакерам відстежувати місцезнаходження користувача через сполучені Bluetooth-пристрої. Google стверджує, що випустила виправлення для запобігання цій конкретній проблемі, але ефективність залежить від встановлення оновлень користувачами.
Що мають зробити користувачі
Дослідники отримали винагороду у розмірі 15 000 доларів за своє відкриття та погодилися на 150-денне вікно розкриття, щоб Google встигла розгорнути патчі. Незважаючи на ці зусилля, команда попереджає, що багато користувачів не знають про критичні оновлення безпеки.
Щоб захистити себе, користувачам Bluetooth-пристроїв слід негайно:
- Перевірити наявність та встановити останні оновлення прошивки від виробника пристрою.
- Виявляти обережність при поєднанні нових пристроїв у громадських чи багатолюдних місцях.
- Бути в курсі рекомендацій щодо безпеки від Google та інших технологічних компаній.
“Наші результати показують, як невелика функція зручності використання може створити масштабні ризики для безпеки та конфіденційності сотень мільйонів користувачів.” – Дослідницька група WhisperPair
Ці вразливості підкреслюють компроміси між зручністю та безпекою у сучасних технологіях. Хоча Fast Pair спрощує взаємодію з користувачем, вона також запроваджує нові вектори атак, що потребують постійної пильності як від виробників, так і від споживачів.
