Komoly biztonsági problémára derült fény számos népszerű vezeték nélküli fejhallgató és fülhallgató esetében. A belgiumi KU Leuven egyetem kutatói egy WhisperPair nevű sebezhetőséget azonosítottak, amely a Google Fast Pair technológia hibás megvalósítását használja ki. A rés lehetővé teheti, hogy rosszindulatú támadók fizikailag hozzá sem férve az eszközhöz csatlakozzanak ahhoz, lehallgassák a hangot, sőt akár a felhasználó tartózkodási helyét is kövessék.
A Fast Pair célja eredetileg az volt, hogy az Androidos készülékek gyorsan és egyszerűen párosíthatók legyenek Bluetooth-os audió kiegészítőkkel. A rendszer úgy működik, hogy egy „kereső” eszköz – például egy telefon vagy laptop – üzenetet küld a „szolgáltató” eszköznek, vagyis a fejhallgatónak, fülhallgatónak vagy hangszórónak. A hivatalos specifikáció szerint ezeknek az audió eszközöknek csak akkor lenne szabad elfogadniuk a párosítási kérést, amikor kifejezetten párosítási módban vannak. A kutatók azonban azt találták, hogy sok gyártó készülékei ezt nem tartják be, és már pusztán bekapcsolt állapotban is elfogadják a kéréseket.
Ezt a hibát kihasználva a WhisperPair támadások rendkívül gyorsan, normál Bluetooth-hatótávon belül elindíthatók. A KU Leuven COSIC (Computer Security and Industrial Cryptography) kutatócsoportja demonstrálta, hogy így illetéktelenek képesek csatlakozni célba vett eszközökhöz, hangot lejátszani rajtuk, vagy akár a mikrofonjukon keresztül hallgatózni. Ennél is aggasztóbb, hogy a kompromittált audió eszköz hozzáadható a Google Find Hub hálózatához, ami lehetőséget ad a tulajdonos mozgásának követésére.
A sebezhetőség több nagy gyártót is érint. A vizsgált és érintett modellek között szerepel például a Sony WH-1000XM6, a Pixel Buds Pro 2, a Jabra Elite 8 Active, a Soundcore Liberty 4 NC, valamint több JBL és Google termék is. Bár nem zárható ki, hogy ennél is több eszköz veszélyeztetett, a jó hír az, hogy a probléma firmware-frissítéssel javítható.
A Google közlése szerint már augusztusban értesült a hibáról, és együttműködött a kutatókkal a megoldás kidolgozásában. Fontos azonban hangsúlyozni, hogy a végleges javítás nem a Google, hanem az egyes audió eszközök gyártóinak kezében van. Több gyártó már kiadta a szükséges frissítéseket, de a felhasználóknak érdemes közvetlenül ellenőrizniük a saját készülékük támogatási oldalát, hogy elérhető-e a WhisperPair elleni javítás.
Android-felhasználók számára van egy enyhítő körülmény: a támadás elsősorban azokat az eszközöket érinti, amelyeket még nem párosítottak Fast Pairrel Androidos készülékkel. Ez azt jelenti, hogy a már régóta használt fülhallgatók nagyobb eséllyel biztonságban vannak. Az iOS-es felhasználók esetében viszont más a helyzet, mivel az Apple rendszere nem használ Fast Pairt, így azok a Fast Pair-kompatibilis fejhallgatók, amelyeket kizárólag iPhone-nal vagy iPaddel használtak, továbbra is sebezhetőek lehetnek.
További friss Telefongurus hírek erre!
A COSIC jelentése szerint egy esetleges támadás után a felhasználó figyelmeztetést kaphat arról, hogy egy ismeretlen eszköz követi a tartózkodási helyét. A probléma az, hogy ez az eszköz gyakran a saját tulajdonúként jelenik meg, ezért sokan figyelmen kívül hagyhatják az értesítést.
Bár jelenleg nincs bizonyíték arra, hogy a WhisperPair sebezhetőséget a gyakorlatban, széles körben kihasználták volna, a szakértők szerint nem érdemes kockáztatni. Ha régóta nem frissítetted a fejhallgatód vagy fülhallgatód szoftverét, most különösen ajánlott megtenni. Egy egyszerű firmware-frissítés ugyanis elég lehet ahhoz, hogy bezárja ezt a súlyos biztonsági rést, és megvédje a magánszférádat.
Megérné Önnek telefont váltani csak azért, mert az új modell dupla alap tárhellyel érkezik?
Honlapunk oldalain található információk és számítások a piacon elérhető adatokon alapszanak.
Sajnos mi sem vagyunk tévedhetetlenek, és az adatközlők sem. Az esetleges pontatlanságokért valamint az adatok felhasználásból eredő károkért felelősséget nem tudunk vállalni.
A Telefonguru oldalainak másodközlése csak a tulajdonos engedélyével lehetséges!
