Хакери могу да слушају и прате ваше разговоре! МИЛИОНИ СЛУШАЛИЦА И ЗВУЧНИКА У ОПАСНОСТИ, имају озбиљну "рупу" у систему
Стотине милиона Блутут слушалица и аудио уређаја широм света изложене су безбедносном пропусту који може омогућити даљинско хаковање, прислушкивање и праћење корисника.
Проблем је откривен у Google Fast Pair систему, који је осмишљен да олакша повезивање уређаја, али се сада показао као потенцијално велика безбедносна слабост.
Безбедносни истраживачи са белгијског универзитета KU Leuven открили су рањивост названу WhisperPair, која омогућава нападачу да преузме контролу над Fast Pair уређајима без знања власника. Напад у просеку траје око 10 секунди и може се извести са удаљености до 14 метара, што значи да жртва најчешће и не примети да се нешто дешава.
Проблем погађа више од десет произвођача и најмање десетине модела, укључујући уређаје компанија Sony, Nothing, JBL, OnePlus, као и саме уређаје компаније Google. Важно је истаћи да корисник може бити угрожен чак и ако никада није користио Google производ, јер Fast Pair функционише на нивоу самог Bluetooth стандарда.
Након успешног напада, нападач може да прекида звук или пушта аудио по сопственом избору, али права опасност лежи у томе што WhisperPair омогућава праћење локације и приступ микрофону. То практично значи да је могуће слушати разговоре власника слушалица и пратити њихово кретање путем уређаја у џепу или торби.
Узрок проблема лежи у непотпуној имплементацији Fast Pair стандарда. Уређаји би требало да прихвате Fast Pair захтев само када су у режиму упаривања, али истраживачи наводе да многи модели игноришу ту проверу и прихватају повезивање у сваком тренутку.
За разлику од телефона и рачунара, где се безбедносне закрпе углавном аутоматски инсталирају, аудио додаци су велики проблем. Многи корисници никада не инсталирају званичне апликације за слушалице или звучнике, па самим тим ни не добијају нове верзије фирмвера. Ситуацију додатно компликује чињеница да Fast Pair не може да се искључи на подржаним уређајима.
Google је потврдио постојање проблема и обавестио партнере, као и објавио закрпу за сопствене уређаје, али истраживачи тврде да је и та заштита релативно лако заобиђена. Потпуно решавање проблема могло би да потраје недељама или чак месецима, у зависности од произвођача.
За сада нема доказа да се WhisperPair масовно користи у реалним нападима, али сада када је пропуст јаван, ризик значајно расте. Ако постоји сумња да је уређај компромитован, једина опција је фабрички ресет слушалица. Такође се саветује да званична апликација произвођача буде инсталирана како би се безбедносне закрпе преузеле чим постану доступне.
