ثغرة WhisperPair وتأثيرها على Google Fast Pair
كشفت مجموعة من الباحثين الأمنيين في KU Leuven عن ثغرة تعرف باسم WhisperPair تؤثر على مئات الملايين من الملحقات الصوتية التي تدعم بروتوكول Google Fast Pair، وتظهر أن المشكلة ليست في بروتوكول Bluetooth نفسه بل في طريقة تطبيق الشركات للمواصفات الخاصة بـ Google.
بمجرد اقتران المهاجم بجهاز الملحق، يمكنه حقن أصوات غريبة أو التحكم بمستوى الصوت أو تفعيل الميكروفون في بعض الحالات. الأهم أن المهاجم قد يسجل الملحق في حساب Find My Device الخاص به قبل أن يقوم المالك بذلك، وهذا يسمح بتتبع تحركات الضحية باستمرار عبر شبكة المواقع العالمية التابعة لـ Google.
يبين المصدر أن المشكلة تنبع من تطبيقات الشركات المصنعة لتعليمات Fast Pair بصورة غير صحيحة، حيث تفشل الأجهزة في فرض وضع الاقتران اليدوي وتظل مفتوحة لطلبات الاتصال في أي وقت، مما يفتح الباب أمام التجسس الصوتي وتتبع الموقع الجغرافي.
تمثل WhisperPair تحدياً أمنياً في عصر الإنترنت الأشياء، خاصة مع وجود أجهزة رخيصة لا تملك آليات فعالة لتحديث البرمجيات الثابتة. حتى وإن أصلحت Google البروتوكول، فقد تظل ملايين الأجهزة غير محدثة بسبب غياب ثقافة التحديث الآمن لدى المصنعين.
إن قدرة الملحقات على تسجيل نفسها في حساب المهاجم عبر Find My Device تحول جهازاً شخصياً إلى أداة تتبع مادية، وهو تهديد يتجاوز سرقة البيانات ويتطلب جهداً تنظيمياً لفرض معايير أمان صارمة على جميع الأجهزة التي تتصل بالهواتف عبر تقنيات الاقتران السريع.