Bluetooth-наушники Sony и Anker оказались уязвимы для слежки через Fast Pair

Исследовательская группа по компьютерной безопасности и криптографии из католического университета Левена (KU Leuven) в Бельгии выявила серьёзные уязвимости в протоколе Fast Pair от Google. Эта технология используется для быстрой и удобной синхронизации Bluetooth-наушников или колонок с устройствами на Android и iOS — достаточно просто открыть кейс, и твои уши уже в объятиях беспроводного звука. Но, как выясняется, вместе с любимыми треками можно получить и нежелательных слушателей.

Уязвимость, которую исследователи окрестили "WhisperPair", позволяет злоумышленнику в радиусе действия Bluetooth незаметно подключиться к некоторым наушникам, наушникам-вкладышам или портативным колонкам компаний Sony, Anker, Nothing и ряда других брендов. С помощью этой „лазейки“ можно не только подслушивать ваши разговоры или музыку, но и отслеживать местоположение устройства через сервис Google Find Hub.

Для пользователя сотрудничество с Fast Pair обычно выглядит предельно просто — технология автоматически выявляет поддерживаемые девайсы поблизости, и достаточно одного тапа для мгновенного соединения. Но исследователи обнаружили: для некоторых моделей на этом простое подключение не останавливается. Атакующий может воспользоваться уязвимостью, чтобы «пригласить себя» в ваши Bluetooth-навыки, даже не будучи владельцем смартфона или аккаунта. Бонус: атака работает и для устройств Apple, если наушники поддерживают Fast Pair.

Информация об уязвимости уже передана производителям, обсуждаются пути её устранения. Пока что ни Sony, ни Anker, ни другие крупные игроки рынка публично не сообщили, что именно намерены предпринять против „WhisperPair“. Так что если вы любите судачить на улице с дорогими наушниками — рекомендуем временно сменить тему беседы. Особенно если поблизости крутятся люди с ноутбуками и загадочным видом.