Se você é proprietário de um Android e usa fones de ouvido sem fio, remova-os por um segundo e ouça: conforme relatado pela primeira vez pela WIRED, milhões de dispositivos de áudio de marcas respeitáveis como Sony, JBL, Anker, Sonos e até o próprio Google agora enfrentam uma grande vulnerabilidade de segurança que pode permitir que hackers espionem suas conversas ou rastreiem sua localização. Existem maneiras de tapar o buraco, mas você precisará pular alguns obstáculos para fazer isso.
Como funciona o ataque “WhisperPair”
A vulnerabilidade foi descoberta pela primeira vez pelo Grupo de Segurança de Computadores e Criptografia Industrial da Universidade KU Leuven da Bélgica e está sendo apelidada de “WhisperPair”. Ele aproveita o recurso Fast Pair do Android, que permite conexões convenientes com um toque para dispositivos Bluetooth próximos, semelhante ao que pode aparecer na tela do seu iPhone se você abrir um case AirPods próximo a ele. Infelizmente, de acordo com os pesquisadores, eles descobriram que é possível que um agente mal-intencionado essencialmente sequestre o processo de emparelhamento, dando-lhes uma janela oculta no seu dispositivo de áudio e ao mesmo tempo permitindo que ele se conecte ao seu telefone ou tablet, deixando você sem saber.
“Você está andando na rua com seus fones de ouvido, ouvindo música. Em menos de 15 segundos, podemos sequestrar seu dispositivo”, disse Sayon Duttagupta, pesquisador da KU Leuven, à WIRED.
OK, então um hacker pode ouvir em seus fones de ouvido. Grande grito. Mas sim, na verdade. Grande grito, de fato.
Como isso coloca você em risco
Depois que um hacker emparelha com seu dispositivo de áudio, ele pode usá-lo para escutar seus microfones, ouvir qualquer conversa privada que possa estar vindo de seus alto-falantes, reproduzir seu próprio áudio no volume que desejar e, se o seu dispositivo tiver suporte para Google Find Hub, possivelmente até rastrear sua localização.
Essa última vulnerabilidade é a mais preocupante para mim, embora também seja a mais difícil para os hackers realizarem. No momento, isso só foi documentado no Google Pixel Buds Pro 2 e em cinco produtos Sony, e exige que você não os tenha conectado anteriormente a um dispositivo Android ou emparelhado com uma conta do Google.
Ainda assim, mesmo sem rastreamento de localização, certamente não é ideal para um hacker ter acesso a um microfone em sua casa o tempo todo.
Como se proteger
Os pesquisadores entraram em contato com o Google, que apresentou uma série de soluções recomendadas – mas é aqui que surgem os problemas: essas correções precisam ser implementadas pelos fabricantes de acessórios individualmente e provavelmente você precisará instalá-las manualmente.
A aparência disso varia de acordo com o dispositivo que você possui. A JBL, por exemplo, disse à WIRED que começou a lançar atualizações over-the-air para corrigir a vulnerabilidade, enquanto a Logitech disse que “integrou um patch de firmware para as próximas unidades de produção”. Lifehacker está entrando em contato com outras empresas com produtos afetados e atualizarei esta postagem quando recebermos resposta.
Para garantir que você obtenha as correções do seu dispositivo quando elas forem implementadas para você, o pesquisador que descobriu o WhisperPair sugere baixar o aplicativo correspondente – algo que a maioria dos dispositivos de áudio oferece atualmente. “Se você não tiver o (aplicativo Sony), nunca saberá que há uma atualização de software para seus fones de ouvido Sony”, disse Seppe Wyns, pesquisador da KU Leuven, à WIRED.
O que você acha até agora?
No lado positivo, se acontecer de você possuir um dispositivo de áudio do Google afetado, você deve estar livre – a empresa diz que já enviou correções para eles. Infelizmente, o Google não é mágico. A empresa também disse que tentou atualizar o Find Hub para bloquear a vulnerabilidade de rastreamento de localização para todos os dispositivos, independentemente de o fabricante os ter atualizado ou não. Infelizmente, os pesquisadores da KU Leuven disseram que conseguiram contornar essa solução única em poucas horas.
Infelizmente, o Fast Pair não pode ser desativado, portanto, até que o fabricante do seu dispositivo lance sua própria atualização, ele estará vulnerável. Há um botão de pânico que você pode apertar se notar um comportamento incomum nesse meio tempo, já que os pesquisadores dizem que a redefinição de fábrica do seu dispositivo de áudio irá liberá-lo de qualquer hacker que já tenha emparelhado com ele. Infelizmente, isso ainda o deixa vulnerável para novos hackers no futuro.
O risco é real, mas principalmente teórico por enquanto
Pelo lado positivo, embora as preocupações aqui sejam bastante reais, o Google diz que você não precisa se preocupar muito ainda. A empresa disse à WIRED que “não viu nenhuma evidência de qualquer exploração fora do ambiente de laboratório deste relatório”. Isso significa que os pesquisadores em questão podem ser os primeiros a descobrir o WhisperPair, embora os próprios pesquisadores estejam sendo um pouco mais cautelosos, pois questionam a capacidade do Google de observar o sequestro de áudio de dispositivos de outras empresas.
Por falar nisso, se você é um usuário presunçoso do iPhone lendo isso, não deve se sentir muito confortável: o WhisperPair também pode afetar você. Embora a vulnerabilidade não possa se originar em um dispositivo Apple, se acontecer de você conectar um dispositivo que já foi hackeado em um Android ao seu iPhone ou iPad, você estará no mesmo barco.
Como saber se você está em risco
Eu gostaria de poder oferecer uma solução simples que aumentasse instantaneamente a segurança em todos os seus dispositivos, mas, infelizmente, permanecer protegido do WhisperPair exigirá alguma vigilância de sua parte – em particular, procurando por uma atualização do fabricante do seu dispositivo. Para verificar se a vulnerabilidade do WhisperPair afeta você, visite o site dos pesquisadores e procure o seu dispositivo. Ele informará o fabricante, se é vulnerável e quais etapas você pode seguir para corrigir a vulnerabilidade. Observe que a pequena lista que aparece primeiro na barra de pesquisa não inclui todos os dispositivos vulneráveis, portanto, não presuma que você está seguro só porque não vê o seu lá – pesquise-o primeiro.
