Słuchawki obsługujące system Google Fast Pair mogą służyć do śledzenia użytkowników. Badacze odkryli lukę zabezpieczeń WhisperPair, dzięki której w kilka sekund hakerzy łączą się z urządzeniami Bluetooth.
Kojarzycie ten moment, gdy uruchamiacie smartfon w komunikacji zbiorowej, a na ekranie pojawia się opcja połączenia się z kompletnie nieznanymi wam słuchawkami? To właśnie Google Fast Pair - rozwiązanie, które przyspiesza proces parowania urządzeń łączących się przez Bluetooth podczas konfiguracji. Zamiast wchodzenia w ustawienia i wyszukiwanie urządzenia z listy po przytrzymaniu przycisku parowania - wyskakujące w dolnej części ekranu okno.
Funkcjonalność tę znajdziemy na wszystkich urządzeniach z Androidem i w momencie premiery stanowiła bezpośrednią odpowiedź na rozwiązanie w ekosystemie Apple. Przez lata ewoluowała, dodając chociażby przydatny skrót do instalowania aplikacji mobilnej, którą producent stworzył dla danych słuchawek Bluetooth. Te najlepiej zainstalować, by uniknąć ataku WhisperPair.
WhisperPair może pomóc w śledzeniu użytkowników wybranych słuchawek
Badacze z grupy Katolickiego Uniwersytetu Lowańskiego do spraw cyberbezpieczeństwa oraz kryptografii przemysłowej znaleźli lukę w zabezpieczeniach kilkunastu modeli słuchawek bezprzewodowych. Wśród nich modele od Sony, JBL, Nothing, OnePlus czy te stworzone przez Google. Urządzeń dotkniętych może być więcej, a naukowcy stworzyli następującą listę:
Sony WH-1000XM6;
Google Pixel Buds Pro 2
OnePlus Nord Buds 3 Pro
Sony WH-1000XM5
Sony WH-CH720N
Sony WH-1000XM4
Nothing Ear (a)
JBL TUNE BEAM
Xiaomi Redmi Buds 5 Pro
Marshall MOTIF II A.N.C.
soundcore Liberty 4 NC
Jabra Elite 8 Active
Na czym polega błąd? Wynika on z braku zabezpieczeń metody szyfrującej połączenie ze słuchawkami. Teoretycznie w momencie, gdy słuchawki nie są w trybie parowania, nie powinny przyjmować próśb o połączenie. Jednakże w przypadku WhisperPair niektóre urządzenia nadal są gotowe na parowanie. Atakujący może dokonać ataku w przeciągu kilku sekund i z odległości nawet 14 metrów.
Po otrzymaniu dostępu do słuchawek hakerzy mogą wykorzystać ich najbardziej podstawową funkcję, czyli przejąć dostęp do urządzenia, by odtworzyć na nim dźwięk. To jednak nie wszystko, bowiem w wybranych modelach, które obsługują Google Find Hub (Centrum lokalizacji), przestępcy mogą wykorzystać słuchawki do śledzenia położenia. Oprócz tego mogą uzyskać dostęp do mikrofonów i przejąć w ten sposób rozmowy.
Badacze lukę wykryli jeszcze w sierpniu 2025 roku. Następnie podzielili się informacją o niej z Google, które przekazało informację swoim partnerom. Jak na razie jedynym sposobem, by uniknąć takiego ataku jest instalowanie aktualizacji przeznaczonych dla słuchawek, które przygotują deweloperzy. Google zaznacza przy tym, że nie odnotowało jeszcze ataków WhisperPair poza próbami naukowców.
Źródło: ArsTechnica
Komentarze
0Nie dodano jeszcze komentarzy. Bądź pierwszy!