ثغرة WhisperPair ضمن Google Fast Pair وتأثيرها على سماعات البلوتوث
أطلق باحثون من جامعة لوفين الكاثوليكية في بلجيكا اسم WhisperPair على الثغرة، وبيّنوا أنها ناجمة عن تطبيق غير صحيح لميزة الاقتران السريع من قبل بعض الشركات المصنّعة، فالمفترض أن يتيح Fast Pair الاتصال فقط عندما يكون الجهاز في وضع الاقتران، لكن الخلل يسمح بإجراء الاقتران حتى بعد إتمامه.
أوضح الباحثون أن الخلل يعود إلى تطبيق غير صحيح لميزة الاقتران السريع من قبل بعض الشركات المصنّعة، ما يجعل الجهاز قادرًا على إجراء الاقتران حتى بعد اكتماله، وهو ما يمكّن المهاجم من استغلال الثغرة لاحقًا.
يمكن للمهاجم تشغيل ميكروفون السماعة والاستماع للأصوات المحيطة، وحقن صوت داخل الجهاز، إضافة إلى تتبع موقع المستخدم عبر ربط الجهاز بحساب جوجل واستخدام أدوات التتبع، وذلك خلال أقل من 15 ثانية إذا كان الجهاز ضمن النطاق القريب.
أكّدت Google أنها أبلغت شركاءها بالحلول الموصى بها منذ سبتمبر، وأنها لم ترصد استغلالًا حقيقيًا خارج المختبر، كما أشارت إلى أن سماعات Pixel Buds المصابة تم إصلاحها بالفعل.
تشير التقارير إلى أن الثغرة تشمل أجهزة من شركات تعتمد Fast Pair، منها سوني وجابرا وجي بي إل ومارشال وشومي وناثنغ ون ون بلس وساوندكور ولوجيتك وجوجل، وتؤكد بعض الشركات مثل ون بلس أنها تجري تحقيقات داخلية.
ما يجب على المستخدمين فعله
حدث البرنامج الثابت لسماعات البلوتوث فورًا.
ثبت تطبيق الشركة المصنّعة لمتابعة التحديثات بشكل منتظم.
تجنب ترك البلوتوث مفعّلًا دون حاجة في الأماكن العامة.