Вашите слушалки могат да се окажат опасен инструмент за следене. Възползвайки се от една уязвимост в сигурността, хакерите могат да ви шпионират за секунди, предупреди скорошен доклад на група за киберсигурност.
Функцията Fast Pair на Google ви позволява да свържете слушалките и високоговорителите си към вашето устройство с Android или ChromeOS само с едно докосване. Но сега изглежда, че цената на това удобство е уязвимост в сигурността, която може да остави милиони устройства отворени за хакери и шпиони.
Това стряскащо откритие беше направено от изследователи по сигурността в групата за компютърна сигурност и индустриална криптография на белгийския университет KU Leuven, които наричат колекцията от уязвимости WhisperPair.
Разследването установи, че 17 основни модела слушалки и високоговорители могат да се ползват за целите на хакерите също толкова лесно, колкото и от обикновени потребители. Уязвимите устройствата са произведени от компании в цялата индустрия, включително Google, Jabra, JBL, Logitech, Marshall, Nothing, OnePlus, Sony, Soundcore и Xiaomi.
На практика, хакерът може да получи контрол над микрофона и високоговорителите на вашето устройство или дори да проследи местоположението ви. Това ще му позволи да възпроизвежда собствено аудио във вашите слушалки или тихо да включва микрофоните и да подслушва разговорите ви.
Ако целевото устройство е съвместимо със системата за проследяване на местоположението Find Hub на Google, хакерът би могъл да ви следи в реалния свят. И колкото и страшно да звучи, това не е първият път, в който Find Hub е бил пробит от опасни хакери.
По-лошото е, че това може да се направи дори ако устройството на жертвата работи с iOS и тя никога не е използвала продукт на Google преди това. Даже устройството ви никога да не е свързвано с акаунт в Google – което може да е така, ако сте потребител на iPhone – хакерът би могъл не само да го следи, но и да го сдвои със собствения си акаунт в Google.
Това е така, защото системата на Google идентифицира първото устройство с Android, което се свързва с целевите високоговорители или слушалки, като собственик – слабост, която би позволила на хакер да проследи местоположението ви в собственото си приложение Find Hub.
За да направи това, всичко, от което се нуждае един нападател, е да се позиционира в обхвата на Bluetooth и да има под ръка идентификационния номер на модела на целевото устройство. Хакер би могъл да получи този идентификационен номер, ако притежава същия модел устройство или чрез заявка към публично достъпен API на Google.
Един от начините, по които WhisperPair работи, е чрез недостатък в настройката за множество устройства на Fast Pair. Google твърди, че сдвоено устройство не би трябвало да може да се сдвоява с втори телефон или компютър. И все пак изследователите са успели да заобиколят това ограничение много лесно. Тъй като няма начин да деактивирате Fast Pair на устройство с Android, не можете просто да го изключите, за да избегнете уязвимостта.
Много от засегнатите компании са пуснали корекции в опит да отстранят проблема, но изследователите по сигурността посочват, че получаването на тези корекции изисква изтегляне на приложение на производителя (и получаване на корекция оттам) – нещо, което много потребители на високоговорители и слушалки не знаят, че трябва да направят.
Ако притежавате високоговорител или слушалки от някоя от засегнатите фирми, е важно да изтеглите приложението им и да инсталирате корекцията възможно най-скоро. Вече е създаден и уебсайт WhisperPair, който ви позволява да търсите в списък с уязвими устройства, за да видите дали е вероятно да сте засегнати, така че не забравяйте да го проверите.
Изследователите предполагат, че Fast Pair трябва криптографски да наложи желаното сдвояване на устройства и да не позволява на втори потребител да се сдвоява без удостоверяване. Но докато това не се случи, актуализирането на устройствата е почти всичко, което можете да направите.
