Milioni slušalica i zvučnika imaju ozbiljnu bezbednosnu rupu, moguće prisluškivanje i praćenje
Stotine miliona Bluetooth slušalica i audio uređaja širom sveta izložene su bezbednosnom propustu koji može omogućiti daljinsko hakovanje, prisluškivanje i praćenje korisnika. Problem je otkriven u Google Fast Pair sistemu, koji je osmišljen da olakša povezivanje uređaja, ali se sada pokazao kao potencijalno velika bezbednosna slabost.
Bezbednosni istraživači sa belgijskog univerziteta KU Leuven otkrili su ranjivost nazvanu WhisperPair, koja omogućava napadaču da preuzme kontrolu nad Fast Pair uređajima bez znanja vlasnika. Napad u proseku traje oko 10 sekundi i može se izvesti sa udaljenosti do 14 metara, što znači da žrtva najčešće i ne primeti da se nešto dešava.
Teme za vas
"Zašto bi Rusi hteli da prodaju Mađarima a ne nama?": Stručnjak o tome šta je najbolje za Srbiju u vezi NIS-a
Rusi napravili revolucionarni solarni uređaj: Novi inverter radi na -50 stepeni, popravlja se za par minuta
Problem pogađa više od deset proizvođača i najmanje desetine modela, uključujući uređaje kompanija Sony, Nothing, JBL, OnePlus, kao i same uređaje kompanije Google. Važno je istaći da korisnik može biti ugrožen čak i ako nikada nije koristio Google proizvod, jer Fast Pair funkcioniše na nivou samog Bluetooth standarda.
Nakon uspešnog napada, napadač može da prekida zvuk ili pušta audio po sopstvenom izboru, ali prava opasnost leži u tome što WhisperPair omogućava praćenje lokacije i pristup mikrofonu. To praktično znači da je moguće slušati razgovore vlasnika slušalica i pratiti njihovo kretanje putem uređaja u džepu ili torbi.
Uzrok problema leži u nepotpunoj implementaciji Fast Pair standarda. Uređaji bi trebalo da prihvate Fast Pair zahtev samo kada su u režimu uparivanja, ali istraživači navode da mnogi modeli ignorišu tu proveru i prihvataju povezivanje u svakom trenutku.
Za razliku od telefona i računara, gde se bezbednosne zakrpe uglavnom automatski instaliraju, audio dodaci su veliki problem. Mnogi korisnici nikada ne instaliraju zvanične aplikacije za slušalice ili zvučnike, pa samim tim ni ne dobijaju nove verzije firmvera. Situaciju dodatno komplikuje činjenica da Fast Pair ne može da se isključi na podržanim uređajima.
Google je potvrdio postojanje problema i obavestio partnere, kao i objavio zakrpu za sopstvene uređaje, ali istraživači tvrde da je i ta zaštita relativno lako zaobiđena. Potpuno rešavanje problema moglo bi da potraje nedeljama ili čak mesecima, u zavisnosti od proizvođača.
Za sada nema dokaza da se WhisperPair masovno koristi u realnim napadima, ali sada kada je propust javan, rizik značajno raste. Ako postoji sumnja da je uređaj kompromitovan, jedina opcija je fabrički reset slušalica. Takođe se savetuje da zvanična aplikacija proizvođača bude instalirana kako bi se bezbednosne zakrpe preuzele čim postanu dostupne.
(Telegraf Biznis)