WhisperPair: громкий провал
Следите за новостями по этой теме!
Подписаться на «Рифы и пачки / Твоя культура»
Исследователи из Бельгии нашли дыру в безопасности 17 моделей наушников и колонок, поддерживающих Google Fast Pair. Fast Pair — это фирменная функция Google для быстрого подключения Bluetooth-устройств: типа, просто поднёс наушники к телефону — и всё само соединяется. Пользоваться удобно, вот только, как выяснилось, удобно теперь может быть и хакерам.
Команда из лаборатории KU Leuven обнаружила уязвимость в реализации Fast Pair у некоторых партнёров Google — не самой Google, а их производителей. Пробел назвали почти романтично — WhisperPair. Для атаки злоумышленнику достаточно знать номер модели устройства (это вообще не секрет) и оказаться рядом. Всё — микрофон ваших наушников превращается из собеседника в злейшего врага: можно подслушивать, отправлять звук, отслеживать местоположение.
Эксплуатация дырки занимает меньше 15 секунд: идёте по улице, слушаете музыку — а кто-то уже ловко подключился к вашей колонке. Причём проблему нашли ещё летом 2023, сообщили Google, и с тех пор поисковый гигант обещает, что "активно работает над решением". Хотя Google клянётся, что всё сложно, и в реальной жизни никто массово никого не подслушивал, сам факт остаётся: если производитель вашего устройства забыл об обновлениях, вы банально беззащитны.
Среди 17 пострадавших моделей — техника Sony, Jabra, JBL, Marshall, Xiaomi, Nothing, OnePlus, Soundcore, Logitech и собственные Pixel Buds от Google (те уже якобы залатаны). Спешите проверить свои гаджеты — или смиритесь с мыслью, что теперь вашей любимой песней наслаждается не только вы.
Также выяснилось, что некоторым пользователям не обязательно даже заводить Google-аккаунт, чтобы их устройство стало лёгкой добычей. При первом подключении злоумышленник может привязать аксессуар к своему аккаунту и отслеживать местоположение через сервис Google Find Hub. Google исправил этот момент, но исследователи тут же нашли обход.
Классика жанра: обновляйте прошивки, если хотите спать спокойно, но подавляющее большинство людей этим, конечно, заниматься не станет. Все аппетиты на приватность остаются при вас — только теперь ещё и с приправой из лёгкого технического авантюризма.
PEREC.RU
Сначала Google Fast Pair обещал быстро и удобно соединять наушники и колонки с любым телефоном. Но, как всегда бывает с удобством, настоящую пьесу поставили одни, а лавры собирают другие — теперь и хакеры. Исследователи из KU Leuven окрестили баг в Bluetooth-подключении WhisperPair — говорит, уже через 15 секунд любой зевака с телефоном и базовыми знаниями превращается в профессионального шпиона. Устройства 10 крупных брендов в игре, причём модели на любой вкус и кошелёк.
Google геройски отчитывается: мы всё патчим, хакеры сложны, реальной угрозы нет. Только вот список брендов с обновлениями всё шире, а CVE-парад заканчивать никто не собирается. Между строк: для апдейта нужен фирменный апп-менеджер, а кто о нём вообще помнит, кроме чуть горстки параноиков?
С помощью WhisperPair можно не только подслушивать, но и отслеживать гаджет через сеть Google Find Hub — если не успели обновить ПО, скажите привет незваным гостям. Застольная сказка про цифровое доверие обернулась комедией с доступом к микрофону любого Bluetooth-гаджета. Аплодисменты. Никого не удивляет, все только лениво жмут на "обновить позже". И кто же выиграет в этой дуэли: корпоративная лень производителей или невидимый Bluetooth-гурман?
