Ваши наушники могут отслеживать вас: как эксплойт Google Fast Pair позволяет хакерам шпионить за считанные секунды

• Злоумышленники могут взломать микрофоны вашего динамика и отследить ваше местоположение.
• Уязвимость обнаружена в функции быстрого подключения Google.
• Исследователи утверждают, что уязвимость может затронуть миллионы устройств.

функция быстрого подключения предназначена для того, чтобы вы могли подключать наушники и динамики к устройство Android или ChromeOS одним касанием. Однако теперь кажется, что ценой этого удобства является уязвимость безопасности, которая может сделать миллионы устройств открытыми для хакеров и перехватчиков.

Это поразительное открытие было сделано исследователями безопасности из группы компьютерной безопасности и промышленной криптографии бельгийского университета Левена (через Wired), которые дублируют коллекцию уязвимостей WhisperPair.

Там расследование показало, что хакеры могут получить доступ к 17 основным моделям наушников и динамиков так же легко, как и обычным пользователям. Устройства производятся компаниями всей отрасли, включая Google, Jabra, JBL, Logitech, Marshall, Nothing, OnePlus, Sony, Soundcore и Xiaomi.

На практике злоумышленник потенциально может получить контроль над микрофоном и динамиками вашего устройства или даже отследить ваше местоположение. Это позволит им воспроизводить собственный звук в ваших наушниках или бесшумно включать ваши микрофоны и подслушивать ваши разговоры.

Если целевое устройство совместимо с системой отслеживания местоположения Google Find Hub, они смогут следить за вами в реальной жизни. мир. И как бы страшно это ни звучало, это уже не первый случай, когда Find Hub взламывается опасными хакерами.

Хуже того, это может быть сделано даже в том случае, если устройство жертвы работает под управлением iOS и цель никогда раньше не использовала продукты Google. Если ваше устройство никогда не было подключено к учетной записи Google (что может иметь место, если вы являетесь пользователем iPhone), хакер может не только отследить его, но и связать его со своей собственной учетной записью Google.

Это связано с тем, что система Google идентифицирует первое устройство Android, которое подключается к целевым колонкам или наушникам, как владельца. Эта уязвимость позволяет хакеру отслеживать ваше местоположение в собственном приложении Find Hub.

Как это работает?

Для этого все, что нужно злоумышленнику, — это находиться в зоне действия Bluetooth и иметь под рукой идентификатор модели целевого устройства. Хакер может получить этот идентификатор модели, если он владеет той же моделью устройства, что и цель, или путем запроса общедоступного API Google.

Один из способов работы WhisperPair — это недостаток в настройке нескольких устройств Fast Pair. Google утверждает, что сопряженное устройство не должно быть сопряжено со вторым телефоном или компьютером. Однако исследователям удалось очень легко обойти это ограничение.

Поскольку на устройстве Android невозможно отключить быстрое соединение, вы не можете просто отключить его, чтобы избежать уязвимости. Многие из затронутых компаний выпустили исправления, пытаясь решить проблему, но исследователи в области безопасности отмечают, что для получения этих исправлений необходимо загрузить приложение производителя и получить оттуда патч – многие пользователи динамиков и наушников не знают, что им нужно это сделать.

Если у вас есть динамик или пара наушников одной из пострадавших фирм, важно как можно скорее загрузить их приложение и установить исправление. Был создан веб-сайт WhisperPair, который позволяет вам выполнять поиск по списку уязвимых устройств, чтобы узнать, могут ли они быть затронуты, поэтому обязательно проверьте это.

Исследователи предположили, что Fast Pair должен криптографически обеспечивать желаемое сопряжение устройств и не позволять второму пользователю подключаться без аутентификации. Но пока этого не произошло, обновление ваших устройств — это все, что вы можете сделать.

Следите за TechRadar в Google Новости и добавьте нас в качестве предпочтительного источника, чтобы получать новости, обзоры и мнения наших экспертов в своих лентах. Обязательно нажмите кнопку «Подписаться»!

И, конечно же, вы также можете подписаться на TechRadar в TikTok, чтобы получать новости, обзоры, распаковки в виде видео, а также получать регулярные обновления от нас на WhatsApp тоже.