Google Fast Pair je trebao riješiti glavobolje s Bluetooth uparivanjem. Iza kulisa, pokazalo se, otvara i ozbiljnu sigurnosnu rupu.
Tim istraživača s belgijskog sveučilišta KU Leuven objavio je ranjivost nazvanu „WhisperPair“. Omogućuje napadaču da na daljinu preuzme kontrolu nad mnogim Fast Pair slušalicama i headsetovima te prisluškuje mikrofon i prati vašu lokaciju.
Tko je pogođen
Fast Pair je dio Android ekosustava i koristi ga više brendova koje i vi vjerojatno viđate po regiji. Prema istraživačima, pogođeno je više od desetak uređaja iz 10 proizvođača, uključujući:
- Google (uključujući Pixel Buds Pro 2)
- Sony
- Nothing
- JBL
- OnePlus
Kompletan i ažuriran popis nalazi se na projektnoj stranici istraživača.
Google je potvrdio propust i obavijestio partnere, ali svaki proizvođač mora sam izdati firmware zakrpu.
Kako radi WhisperPair
Korijen problema je nepotpuna implementacija standarda Fast Pair.
Uređaj bi smio prihvatiti Fast Pair zahtjev samo kada je u načinu za uparivanje. Tim s KU Leuven otkrio je da mnoge slušalice tu provjeru jednostavno preskaču.
WhisperPair to iskorištava tako da forsira vezu preko klasičnog Bluetooth uparivanja, čak i kada slušalice djeluju neaktivno.
U praksi napad:
- u prosjeku traje oko 10 sekundi,
- radi na udaljenostima do 14 metara, blizu praktičnog Bluetooth maksimuma.
Drugim riječima, napadač može sjediti nekoliko stolova dalje u kafiću ili par redova dalje u tramvaju i vi ga ne biste povezali sa svojim slušalicama.
Što napadač može napraviti
Kada jednom preuzme kontrolu nad ranjivim uređajem, napadač može:
- prekinuti zvuk koji slušate,
- puštati vlastiti audio sadržaj,
- dohvatiti pristup mikrofonu (ako ga model podržava),
- pratiti vašu lokaciju preko Bluetooth uređaja koji nosite sa sobom.
Istraživači su objavili i kratki video koji dramatizira kako se WhisperPair može iskoristiti za špijuniranje ničega svjesnih korisnika.
Zašto će zakrpe kasniti
Mobiteli i računala danas uglavnom dobivaju sigurnosne nadogradnje automatski. Kod dodataka, poput slušalica, priča je drukčija.
Mnogi korisnici nikada ne instaliraju službenu aplikaciju svog proizvođača, pa:
- ostaju na tvorničkom firmwareu,
- sigurnosne zakrpe stoje u trgovinama aplikacija, dok milijuni uređaja ostaju izloženi.
Još gore, Fast Pair se ne može isključiti na podržanim uređajima. Realno, jedina obrana je:
- Instalirati službenu aplikaciju za svoje slušalice ili headset.
- Odmah primijeniti sve ponuđene firmware nadogradnje.
Google kaže da je već pogurao ažuriranja za svoje pogođene uređaje, no istraživači su za Wired rekli da su za taj patch relativno lako pronašli zaobilazno rješenje. To sugerira da će se igra mačke i miša nastaviti.
Uz toliko uključenih proizvođača i nejasnoće oko toga što točno u ponašanju Fast Pair treba mijenjati, moglo bi proći tjednima ili mjesecima dok cijeli ekosustav ne bude zakrpan – uključujući i popularne modele prisutne na balkanskom tržištu.
Koraci koje vi možete poduzeti
Google zasad navodi da nema dokaza o napadima u praksi. No, sada kada su detalji javni, rizik realne zloupotrebe raste.
Ako sumnjate da su vaše slušalice kompromitirane, učinite sljedeće:
- napravite tvornički reset slušalica kako biste izbrisali sva nepoznata uparivanja;
- ostavite instaliranu službenu aplikaciju kako biste što prije dobili nove firmware verzije.
Dok proizvođači ne poprave svoje Fast Pair implementacije, ista funkcija koja je Bluetooth učinila ugodnijim, čini vaše slušalice mnogo privlačnijom metom za napade.
