Nova sigurnosna istraživanja belgijskog sveučilišta KU Leuven otkrila su ozbiljne slabosti u Googleovu bežičnom protokolu Fast Pair, namijenjenom brzom povezivanju Bluetooth uređaja s Androidom i ChromeOS-om. Skupina ranjivosti, nazvana „WhisperPair”, omogućuje napadačima da se u svega jednom kliku povežu na brojne popularne audio uređaje – i to bez znanja vlasnika.
Ključni nalazi
• Pogođeno je 17 modela slušalica, zvučnika i earbudsa deset proizvođača: Sony, Jabra, JBL, Marshall, Xiaomi, Nothing, OnePlus, Soundcore, Logitech i Google. • Napadač unutar Bluetooth dometa (oko 15 metara) može tiho „prigrliti” uređaj, preuzeti kontrolu nad zvukom, upasti u telefonske razgovore ili uključiti mikrofon kako bi prisluškivao okolinu. • Određeni Googleovi i Sonyjevi modeli, kompatibilni s funkcijom za geolokaciju Find Hub, mogu se iskoristiti i za precizno praćenje kretanja žrtve.
„Željeli smo pokazati koliko je jednostavno zloupotrijebiti pogodnosti Fast Paira ako se ne provjeri sigurnosna strana priče”, poručili su istraživači dokumenata iz KU Leuvena.
Google je istoga dana objavio sigurnosno upozorenje te, prema navodima istraživača, o propustu obavijestio pogođene proizvođače još u kolovozu. Većina ih je u međuvremenu pripremila ažuriranja firmvera. No stručnjaci iz Leuvena upozoravaju da će „WhisperPair” ostati prijetnja sve dok korisnici ne instaliraju zakrpe, što se kod audio-dodataka rijetko događa.
Što korisnici mogu učiniti
- Provjeriti ima li njihov model noviju verziju softvera i odmah je instalirati.
- Isključiti Bluetooth kada se ne koristi i izbjegavati uparivanje u javnim prostorima.
- Redovito pratiti službene kanale proizvođača radi novih sigurnosnih obavijesti.
Iako Fast Pair i dalje nudi izuzetno praktično iskustvo, najnovji slučaj podsjetnik je da brzina i jednostavnost često dolaze na račun sigurnosti. Dok proizvođači rade na trajnom rješenju, odgovornost za zaštitu privatnosti dijelom ostaje i na samim korisnicima.