كشف باحثون أمنيون من جامعة KU Leuven عن ثغرة تسمى WhisperPair تؤثر في مئات الملايين من الملحقات السمعية التي تدعم بروتوكول Google Fast Pair.
كيف تعمل وتأثير الثغرة
تبيّن أن المشكلة تنشأ عندما تفشل الشركات المصنّعة في فرض وضع الاقتران اليدوي وتترك الأجهزة مفتوحة لاستقبال طلبات الاقتران الجديدة في أي وقت، مما يسمح للمهاجم بالاقتراب من الجهاز ضمن نطاق البلوتوث. يمكن للمهاجم حقن أصوات غريبة، والتحكم بمستوى الصوت، وحتى تفعيل الميكروفون في بعض الحالات، وذلك دون علم المستخدم. كما يمكن أن يقوم بإدراج الملحق في حساب Find My Device الخاص بالمهاجم بما يسمح بتتبّع حركة الضحية عبر شبكة مواقع Google العالمية.
تشير التغطيات التقنية إلى أن العيب ليس في بروتوكول Bluetooth نفسه بل في طريقة تطبيق المواصفات من قبل الشركات المصنعة، وهذا يجعل العديد من الملحقات الرخيصة عرضة للاختراق حتى لو صدرت تصحيحات من جوجل لاحقًا.
التحديات الناتجة عن سلاسل الإمداد والملحقات الرخيصة
يمثل WhisperPair تحديًا كبيرًا لأمن الأجهزة المتصلة بالإنترنت، إذ تفتقر الكثير من الأجهزة منخفضة السعر إلى آليات فعّالة لتحديث البرامج الثابتة. حتى لو وضعت جوجل حلاً للبروتوكول، تبقى ملايين الأجهزة في الأسواق عرضة للخطر بسبب غياب ثقافة التحديث الأمني لدى المصنعين والباعة.
مخاطر تتبع الموقع عبر الشبكات السحابية
إمكانية تسجيل جهاز الضحية في حساب المهاجم على شبكة Find My Device يحوّل الملحق إلى أداة تتبّع مادي، وهو تهديد يسبق سرقة البيانات الرقمية ويمتد ليؤثر على السلامة الشخصية. لذلك يدعو الأمر إلى تدخل تنظيمي لفرض معايير أمان أكثر صرامة على جميع الأجهزة التي تتصل بالهواتف عبر تقنيات الاقتران السريع.
إجراءات وتوصيات مقترحة
يوصى باعتماد وضع الاقتران اليدوي كإجراء أمني افتراضي حيث أمكن، وتطوير آليات تحديث برامج ثابتة موثوقة، وتطبيق معايير أمان صارمة في سلسلة التوريد، إضافة إلى توعية المستخدمين بخطورة هذه الثغرات وتوفير تحديثات سريعة وآمنة. كما يجب تقليل الاعتماد على أجهزة ضعيفة وتقييد إمكانية تسجيل الملحقات في حساب Find My Device دون موافقة صريحة من المستخدم.