דיווח חדש חושף כי פרוטוקול Google Fast Pair, שנועד להקל על חיבור מהיר של אביזרי שמע למכשירי אנדרואיד, מכיל פרצת אבטחה חמורה ב-17 דגמים שונים של אוזניות ורמקולים. על פי מחקר שנערך באוניברסיטת לוון בבלגיה (KU Leuven), הפרצה מאפשרת לתוקפים הנמצאים בקרבת מקום להשתלט על המכשיר, להזריק סאונד, ואף להפעיל את המיקרופון כדי להאזין לסביבת המשתמש. החוקרים כינו את הפרצה בשם "WhisperPair".
שורש הבעיה אינו בפרוטוקול עצמו, אלא ביישום שגוי שלו על ידי יצרניות החומרה השותפות של גוגל. במצב תקין, Google Fast Pair אמור לאפשר חיבורים חדשים רק כשהמכשיר נמצא במצב צימוד (Pairing Mode). עם זאת, במכשירים הפגיעים, האקרים יכולים לכפות צימוד גם כשהמכשיר כבר מחובר לטלפון של המשתמש, כל עוד הם יודעים את מודל המכשיר – מידע שקל להשיג.
מחברים אתכם לטכנולוגיה. עכשיו יותר מתמיד.
האפליקציה הרשמית של The Verifier
הסכנה: האזנה ומעקב מיקום
לטענת החוקרים, התהליך פשוט להחריד ואינו דורש ציוד מתוחכם. "אתה הולך ברחוב עם אוזניות, ובתוך פחות מ-15 שניות אנחנו יכולים לחטוף את המכשיר שלך", הסביר החוקר סאיון דוטגופטה למגזין Wired. מעבר להאזנה, במקרים מסוימים הפרצה מאפשרת לתוקף לשייך את האביזר לחשבון הגוגל שלו עצמו, מה שמאפשר לו לעקוב אחר מיקום המשתמש דרך רשת Find My Device של גוגל.
גוגל, שעודכנה על הפרצה כבר באוגוסט האחרון, טוענת כי השלבים לניצול הפרצה מורכבים ודורשים קרבה פיזית. החברה מסרה כי היא הפיצה תיקונים ליצרניות השותפות עוד בחודש ספטמבר ועדכנה את כלי האישור (Certification) שלה כדי למנוע יישומים שגויים בעתיד. לטענת גוגל, אוזניות ה-Pixel Buds מתוצרתה כבר עודכנו ומוגנות מפני הפרצה.
אילו מכשירים חשופים לכשל ב-Google Fast Pair?
רשימת המכשירים המושפעים כוללת דגמים של יצרניות ענק, שכולן קיבלו במקור את אישור התקן של גוגל. אף על פי שגוגל שחררה תיקון, האחריות לעדכון הקושחה (Firmware) בפועל נופלת על היצרניות ועל המשתמשים, שצריכים להתקין את האפליקציות הייעודיות של כל מותג כדי לקבל את העדכון. החוקרים הביעו חשש כי משתמשים רבים כלל לא מתקינים אפליקציות אלו, ובכך נשארים חשופים.
רשימת המותגים המושפעים כוללת את:
- Sony
- JBL
- Jabra
- Marshall
- Xiaomi
- Nothing
- OnePlus
- Soundcore
- Logitech
רשימת המכשירים המלאה והמפורטת נמצאת כאן
האם התיקון זמין לכולם?
בעוד שגוגל טוענת כי הפיצה את התיקונים הנדרשים ליצרניות, המצב בשטח תלוי בקצב העדכונים של החברות השונות. OnePlus מסרה כי היא "חוקרת את הנושא" ותנקוט פעולות להגנת המשתמשים. באשר לפרצת המעקב ברשת Find My Device, גוגל שחררה עדכון צד-שרת, אך החוקרים טוענים כי הצליחו למצוא עקיפה לתיקון זה תוך שעות ספורות.
ההמלצה הגורפת כרגע היא לוודא שמותקנת אצלכם האפליקציה הרשמית של יצרן האוזניות ולבדוק ידנית אם קיים עדכון קושחה זמין. הסתמכות על עדכונים אוטומטיים בלבד עשויה להשאיר אתכם חשופים לניצול של Google Fast Pair על ידי גורמים עוינים בסביבתכם.
