O Google projetou o protocolo sem fio Fast Pair para permitir conexões extremamente convenientes. Essencialmente, ele permite que os usuários conectem seus dispositivos Bluetooth em dispositivos Android e Chrome OS com um único toque. No entanto, um grupo de pesquisadores descobriu que o protocolo pode permitir que hackers se conectem a centenas de milhões de fones de ouvido e alto-falantes, permitindo que indivíduos mal-intencionados usem o Fast Pair para controlar alto-falantes, microfones ou até mesmo rastrear a localização de alguém (dependendo do dispositivo), mesmo que não sejam usuários de Android.
Qual é o compromisso?
O comprometimento foi descoberto por pesquisadores de segurança da Universidade KU Leuven de Segurança de Computadores e Criptografia Industrial da Bélgica. A técnica de hacking dos pesquisadores, chamada WhisperPair, permitiria que qualquer pessoa dentro do alcance do Bluetooth (cerca de 15 metros em seus testes) emparelhasse silenciosamente acessórios de áudio e os sequestrasse.
De acordo com a Wired, o grupo revelou que encontrou uma coleção de vulnerabilidades em 17 acessórios de áudio que usam a tecnologia Fast Pair do Google. Os dispositivos são vendidos pela Sony, Jabra, JBL, Marshall, Xiaomi, Nothing, OnePlus, Soundcore, Logitech e até Google.
Alguns acessórios podem permitir que hackers “assumam o controle” ou interrompam o que quer que esteja sendo reproduzido nos fones de ouvido e reproduzam seu próprio áudio em qualquer volume que desejarem. Os dispositivos vendidos pelo Google e pela Sony têm acesso ao Find Hub do Google, que pode ser explorado.
A boa notícia, porém, é que a maioria das empresas com produtos explorados está trabalhando ativamente em soluções. UM O porta-voz do Google confirmou as descobertas do Whisperpair à Wired e supostamente não viu nenhuma evidência de exploração externao ambiente do laboratório. A gigante da tecnologia observou que também lançou correções para seus produtos vulneráveis e para o Find Hub, mas descobriu um desvio para o patch e ainda foi capaz de rastrear um dispositivo usando o Find Hub.
Xiaomi e JBL também emitiram declarações semelhantes, ambas dizendo que estão trabalhando com o Google para resolver a exploração e emitir atualizações over-the-air. Jabra e Logitech disseram que emitiram ou estão em processo de emissão de patches para a vulnerabilidade, e OnePlus observou que estão investigando o problema. Marshall, Nothing e Sony ainda não se manifestaram sobre a vulnerabilidade.
A melhor ação é verificar se há atualizações para qualquer um dos seus dispositivos que usam o Fast Pair.
