
Недолік у 17 аудіопристроях Google Fast Pair може дозволити хакерам підслуховувати
Зараз хороший час, щоб оновити всі ваші Bluetooth аудіопристрої. У четвер Wired повідомив про уразливість безпеки в 17 моделях навушників і динаміків, яка може дозволити хакерам отримати доступ до ваших пристроїв, включаючи їхні мікрофони. Уразливість виникає через неналежну реалізацію протоколу однокнопкового підключення (Fast Pair) від Google.
Дослідники з групи комп’ютерної безпеки та промислової криптографії університету KU Leuven у Бельгії, які виявили цю уразливість, назвали її WhisperPair. Вони зазначили, що хакеру, що перебуває в діапазоні Bluetooth, буде потрібно лише модель пристрою (яка легко доступна) та кілька секунд.
“Ви йдете вулицею з навушниками, слухаєте музику. Менше ніж за 15 секунд ми можемо захопити ваш пристрій,” – зазначив дослідник університету KU Leuven Сайон Даттагупта. “Це означає, що я можу включити мікрофон і слухати ваше оточення. Я можу ввести аудіо. Я можу відстежувати ваше місцезнаходження.” Дослідники повідомили Google про WhisperPair у серпні, і компанія працювала з ними з того часу.
Fast Pair повинен дозволяти нові підключення лише тоді, коли аудіопристрій перебуває в режимі сполучення. (Правильна реалізація цього запобігла б цій уразливості.) Але представник Google розповів Engadget, що уразливість виникла через неналежну реалізацію Fast Pair деякими його партнерами з виробництва. Це може дозволити пристрою хакера з’єднатися з вашими навушниками або динаміком, якщо вони вже з’єднані з вашим пристроєм.
“Ми цінуємо співпрацю з дослідниками безпеки через нашу програму винагород за уразливості, яка допомагає захистити наших користувачів,” – зазначив представник Google у заяві, надісланій Engadget. “Ми працювали з цими дослідниками, щоб виправити ці уразливості, і ми не бачили доказів будь-якої експлуатації поза лабораторними умовами цього звіту. Як найкраща практика безпеки, ми рекомендуємо користувачам перевіряти свої навушники на наявність останніх оновлень прошивки. Ми постійно оцінюємо та покращуємо безпеку Fast Pair та Find Hub.”
Дослідники створили відео нижче, щоб продемонструвати, як працює ця уразливість.
У електронному листі до Engadget Google зазначив, що кроки, необхідні для доступу до мікрофона або аудіо пристрою, є складними і передбачають кілька етапів. Зловмисникам також потрібно залишатися в діапазоні Bluetooth. Компанія додала, що надала своїм партнерам OEM рекомендовані виправлення у вересні. Google також оновила свій сертифікаційний інструмент Validator та вимоги до сертифікації.
Дослідники повідомили, що у деяких випадках ризик стосується навіть тих, хто не використовує телефони Android. Наприклад, якщо аудіопристрій ніколи не був сполучений з обліковим записом Google, хакер може використати WhisperPair не лише для сполучення з аудіопристроєм, але й для прив’язки його до свого облікового запису Google. Потім вони можуть використовувати інструмент Find Hub від Google для відстеження місцезнаходження пристрою (а отже, і вашого).
Google повідомив, що випустив виправлення для своєї мережі Find Hub, щоб вирішити цю конкретну ситуацію. Однак дослідники сказали Wired, що через кілька годин після випуску патчу вони знайшли спосіб обійти це.
17 уражених пристроїв виготовлені 10 різними компаніями, всі з яких отримали сертифікацію Google Fast Pair. Серед них – Sony, Jabra, JBL, Marshall, Xiaomi, Nothing, OnePlus, Soundcore, Logitech і Google. (Google стверджує, що його уражені Pixel Buds вже були виправлені і захищені.) Дослідники опублікували інструмент пошуку, який дозволяє перевірити, чи є ваші аудіоаксесуари уразливими.
У заяві, надісланій Engadget, OnePlus зазначив, що проводить розслідування цієї проблеми і “вжене відповідних заходів для захисту безпеки та приватності наших користувачів.” Ми також зв’язалися з іншими виробниками аксесуарів і оновимо цю історію, якщо отримаємо відповідь.
Дослідники рекомендують регулярно оновлювати ваші аудіопристрої. Але одне з їхніх занепокоєнь полягає в тому, що багато людей ніколи не встановлять додаток третьої сторони виробника (необхідний для оновлень), залишаючи свої пристрої уразливими.
Повний звіт з Wired містить багато більше деталей і вартий прочитання.
January 15, 2026 at 08:56PM

Залишити відповідь
Щоб відправити коментар вам необхідно авторизуватись.