Firma Google zaprojektowała opcję Fast Pair, aby połączenia Bluetooth były szybkie i łatwe. Jedno dotknięcie zastępuje menu, kody i ręczne parowanie. Wygoda ta wiąże się obecnie z poważnym ryzykiem. Badacze bezpieczeństwa na KU Leuven odkryli luki w Google Protokół szybkiej pary która umożliwia ciche przejmowanie urządzeń. Nazwali metodę ataku WhisperPair. Osoba atakująca w pobliżu może połączyć się ze słuchawkami, dousznymi lub głośnikami bez wiedzy właściciela. W niektórych przypadkach osoba atakująca może również śledzić lokalizację użytkownika. Co jeszcze bardziej niepokojące, ofiary nie muszą używać Androida ani posiadać żadnych produktów Google. Dotyczy to również użytkowników iPhone’a.

Zarejestruj się, aby otrzymać mój DARMOWY raport CyberGuy

Otrzymuj moje najlepsze wskazówki techniczne, pilne alerty dotyczące bezpieczeństwa i ekskluzywne oferty prosto do swojej skrzynki odbiorczej. Dodatkowo otrzymasz natychmiastowy dostęp do mojego Przewodnika po przetrwaniu w oszustwie — bezpłatnie, jeśli dołączysz do mojego CYBERGUY.COM biuletyn.

APPLE OSTRZEGA, ŻE MILIONY IPHONEÓW SĄ NARAŻONE NA ATAKI

Czym jest WhisperPair i jak przechwytuje urządzenia Bluetooth

Funkcja Fast Pair działa poprzez rozgłaszanie tożsamości urządzenia do pobliskich telefonów i komputerów. Ten skrót przyspiesza parowanie. Naukowcy odkryli, że wiele urządzeń ignoruje kluczową zasadę. Nadal akceptują nowe pary, gdy są już połączone. To otwiera drogę do nadużyć.

W zasięgu Bluetooth osoba atakująca może po cichu sparować się z urządzeniem w ciągu około 10–15 sekund. Po podłączeniu mogą przerywać połączenia, włączać dźwięk lub aktywować mikrofony. Atak nie wymaga specjalistycznego sprzętu i można go przeprowadzić przy użyciu standardowego telefonu, laptopa lub taniego urządzenia, takiego jak Raspberry Pi. Według badaczy atakujący faktycznie staje się właścicielem urządzenia.

Marki audio dotknięte luką Fast Pair

Naukowcy przetestowali 17 urządzeń kompatybilnych z Fast Pair głównych marek, w tym Sony, Jabra, JBL, Marshall, Xiaomi, Nothing, OnePlus, Soundcore, Logitech i Google. Większość tych produktów przeszła testy certyfikacyjne Google. Ten szczegół rodzi niewygodne pytania dotyczące sposobu przeprowadzania kontroli bezpieczeństwa.

Jak słuchawki mogą stać się urządzeniami śledzącymi

Niektóre modele, których to dotyczy, powodują jeszcze większy problem prywatności. Niektóre urządzenia Google i Sony integrują się z Find Hub, który wykorzystuje pobliskie urządzenia do oszacowania lokalizacji. Jeśli zestaw słuchawkowy nigdy nie był powiązany z kontem Google, osoba atakująca może go najpierw przejąć. Umożliwia to ciągłe śledzenie ruchów użytkownika. Jeśli ofiara otrzyma później powiadomienie o śledzeniu, może się wydawać, że odnosi się ono do jej własnego urządzenia. Dzięki temu ostrzeżenie można łatwo odrzucić jako błąd.

BADACZY GOOGLE NEST NADAL WYSYŁA DANE PO OGRANICZENIU ZDALNEGO STEROWANIA

Dlaczego wiele urządzeń Fast Pair może pozostać podatnych na ataki

Jest jeszcze jeden problem, którego większość użytkowników nigdy nie bierze pod uwagę. Słuchawki i głośniki wymagają aktualizacji oprogramowania sprzętowego. Te aktualizacje są zwykle dostarczane za pośrednictwem aplikacji specyficznych dla marki, których wiele osób nigdy nie instaluje. Jeśli nigdy nie pobierzesz aplikacji, nigdy nie zobaczysz aktualizacji. Oznacza to, że wrażliwe urządzenia mogą pozostać narażone przez miesiące, a nawet lata.

Jedynym sposobem na naprawienie tej luki jest zainstalowanie aktualizacji oprogramowania wydanej przez producenta urządzenia. Chociaż wiele firm wydało poprawki, aktualizacje mogą nie być jeszcze dostępne dla każdego modelu, którego dotyczy problem. Użytkownicy powinni skontaktować się bezpośrednio z producentem, aby potwierdzić, czy dostępna jest aktualizacja zabezpieczeń dla ich konkretnego urządzenia.

Dlaczego wygoda wciąż tworzy luki w zabezpieczeniach

Sam Bluetooth nie był problemem. Wada tkwi w warstwie wygody zbudowanej na niej. Funkcja Fast Pair przedkładała prędkość nad ścisłe egzekwowanie prawa własności. Naukowcy twierdzą, że parowanie powinno wymagać kryptograficznego dowodu własności. Bez tego funkcje zwiększające wygodę stają się powierzchnią ataku. Bezpieczeństwo i łatwość obsługi nie muszą ze sobą kolidować. Ale muszą być zaprojektowane razem.

Google reaguje na luki w zabezpieczeniach Fast Pair WhisperPair

Google twierdzi, że współpracuje z badaczami nad usunięciem luk w zabezpieczeniach WhisperPair i na początku września zaczął wysyłać zalecane poprawki do producentów słuchawek. Google potwierdziło również, że jego własne słuchawki Pixel są teraz załatane.

W oświadczeniu dla CyberGuy, a Rzecznik Google’a powiedział: „Doceniamy współpracę z badaczami bezpieczeństwa w ramach naszego programu nagród za luki w zabezpieczeniach, który pomaga zapewnić bezpieczeństwo naszym użytkownikom. Współpracowaliśmy z tymi badaczami, aby naprawić te luki i nie widzieliśmy dowodów na żadne wykorzystanie poza laboratorium objętym tym raportem. W ramach najlepszej praktyki bezpieczeństwa zalecamy użytkownikom sprawdzenie słuchawek pod kątem najnowszych aktualizacji oprogramowania sprzętowego. Stale oceniamy i ulepszamy zabezpieczenia Fast Pair i Find Hub”.

Google twierdzi, że główny problem wynikał z tego, że niektórzy producenci akcesoriów nie w pełni przestrzegali specyfikacji Fast Pair. Ta specyfikacja wymaga, aby akcesoria akceptowały żądania parowania tylko wtedy, gdy użytkownik celowo przełączył urządzenie w tryb parowania. Według Google niezastosowanie się do tej zasady przyczyniło się do zidentyfikowanych przez badaczy zagrożeń związanych z dźwiękiem i mikrofonem.

Aby zmniejszyć ryzyko w przyszłości, Google zaktualizowało swój narzędzie do sprawdzania szybkich par i wymagania certyfikacyjne, aby wyraźnie sprawdzić, czy urządzenia prawidłowo egzekwują sprawdzanie trybu parowania. Google twierdzi również, że zapewnił partnerom dodatkowym poprawki mające na celu pełne rozwiązanie wszystkich powiązanych problemów po ich zastosowaniu.

Jeśli chodzi o śledzenie lokalizacji, Google twierdzi, że wdrożyło poprawkę po stronie serwera, która uniemożliwia ciche rejestrowanie akcesoriów w sieci Find Hub, jeśli nigdy nie były sparowane z urządzeniem. Urządzenie z Androidem. Według firmy zmiana ta rozwiązuje ryzyko śledzenia Find Hub w tym konkretnym scenariuszu na wszystkich urządzeniach, w tym na akcesoriach Google.

Badacze zadali jednak pytania dotyczące tego, jak szybko poprawki docierają do użytkowników i jaki wpływ ma Google na rzeczywiste nadużycia, które nie dotyczą sprzętu Google. Twierdzą również, że niedociągnięcia w certyfikacji umożliwiły wadliwym wdrożeniom wprowadzenie na rynek na dużą skalę, co sugeruje szersze problemy systemowe.

Na razie zarówno Google, jak i badacze są zgodni co do jednego kluczowego punktu. Aby zapewnić ochronę, użytkownicy muszą zainstalować aktualizacje oprogramowania sprzętowego producenta, a dostępność może się różnić w zależności od urządzenia i marki.

INTELIGENTNE HAKOWANIE W DOMU: CO JEST PRAWDZIWE, A CO OGROMNE

Jak już teraz zmniejszyć ryzyko

Nie można całkowicie wyłączyć funkcji Szybkiej pary, ale można zmniejszyć ekspozycję.

1) Sprawdź, czy problem dotyczy Twojego urządzenia

Jeśli używasz akcesorium Bluetooth obsługującego funkcję Google Fast Pair, w tym bezprzewodowych słuchawek dousznych, słuchawek lub głośników, może to mieć wpływ. Badacze stworzyli publiczne narzędzie wyszukiwania, które pozwala wyszukać konkretny model urządzenia i sprawdzić, czy jest on podatny na ataki. Sprawdzenie urządzenia to prosty pierwszy krok przed podjęciem decyzji, jakie działania podjąć. Odwiedzać szeptpair.eu/vulnerable-devices aby sprawdzić, czy Twoje urządzenie znajduje się na liście.

2) Zaktualizuj swoje urządzenia audio

Zainstaluj oficjalną aplikację producenta słuchawek lub głośników. Sprawdź dostępność aktualizacji oprogramowania sprzętowego i natychmiast je zastosuj.

3) Unikaj parowania w miejscach publicznych

Sparuj nowe urządzenia w przestrzeni prywatnej. Unikaj parowania na lotniskach, w kawiarniach lub na siłowniach, gdzie w pobliżu znajdują się nieznajomi.

4) Reset do ustawień fabrycznych, jeśli coś jest nie tak

Nieoczekiwane przerwy w dźwięku, dziwne dźwięki lub zerwane połączenia to znaki ostrzegawcze. Przywrócenie ustawień fabrycznych może usunąć nieautoryzowane parowanie, ale nie naprawia podstawowej luki. Nadal wymagana jest aktualizacja oprogramowania sprzętowego.

5) Wyłącz Bluetooth, jeśli nie jest potrzebny

Bluetooth musi być włączony tylko podczas aktywnego użytkowania. Wyłączenie Bluetootha, gdy nie jest używany, ogranicza narażenie, ale nie eliminuje ryzyka, jeśli urządzenie pozostanie niezałatane.

6) Zresetuj używane urządzenia

Zawsze przywracaj ustawienia fabryczne używanych słuchawek lub głośników przed ich sparowaniem. Spowoduje to usunięcie ukrytych linków i powiązań kont.

7) Poważnie traktuj powiadomienia o śledzeniu

Sprawdź alerty śledzenia Find Hub lub Apple, nawet jeśli wydają się odnosić do Twojego własnego urządzenia.

8) Aktualizuj swój telefon

Niezwłocznie instaluj aktualizacje systemu operacyjnego. Poprawki platformowe mogą blokować ścieżki exploitów nawet wtedy, gdy akcesoria pozostają w tyle.

Najważniejsze wnioski Kurta

WhisperPair pokazuje, jak małe skróty mogą prowadzić do poważnych problemów związanych z prywatnością. Słuchawki sprawiają wrażenie nieszkodliwych. Zawierają jednak mikrofony, radia i oprogramowanie, które wymagają opieki i aktualizacji. Ignorowanie ich pozostawia martwą plamkę, którą napastnicy chętnie wykorzystują. Bądź teraz bezpieczny oznacza zwrócenie uwagi na urządzenia, które kiedyś uważałeś za oczywiste.

Czy firmy powinny mieć możliwość przedkładania szybkiego parowania nad kryptograficzny dowód własności urządzenia? Daj nam znać, pisząc do nas na adres Cyberguy.com

KLIKNIJ TUTAJ, ABY POBRAĆ APLIKACJĘ FOX NEWS

Zarejestruj się, aby otrzymać mój DARMOWY raport CyberGuy

Otrzymuj moje najlepsze wskazówki techniczne, pilne alerty dotyczące bezpieczeństwa i ekskluzywne oferty prosto do swojej skrzynki odbiorczej. Dodatkowo otrzymasz natychmiastowy dostęp do mojego Przewodnika po przetrwaniu w oszustwie — bezpłatnie, jeśli dołączysz do mojego CYBERGUY.COM biuletyn.

Prawa autorskie 2026 CyberGuy.com. Wszelkie prawa zastrzeżone.