Google zna šta rade njihovi uređaji, ali vi ne: Slušalice mogu špijunirati svaki vaš korak!
Google je razvio Fast Pair protokol kako bi pojednostavio povezivanje Bluetooth uređaja i omogućio korisnicima da slušalice ili zvučnike povežu sa Android i ChromeOS uređajima jednim dodirom. Međutim, ta jednostavnost ima visoku cenu. Bezbednosni istraživači su otkrili da isti mehanizam koji olakšava uparivanje može omogućiti napadačima da se povežu jednako lako, bez znanja ili saglasnosti vlasnika.
Rezultat je ozbiljan bezbednosni propust koji pogađa stotine miliona bežičnih slušalica, bubica i zvučnika. Napadač koji se nalazi u Bluetooth dometu može neprimetno preuzeti kontrolu nad ranjivim uređajima, upravljati zvukom i mikrofonima, a u nekim slučajevima i pratiti lokaciju uređaja. Štaviše, napadi su mogući čak i ako žrtva nikada nije koristila Android telefon niti posedovala Google nalog.
Neprimetno preuzimanje za nekoliko sekundi
Istraživači sa Univerziteta KU Leuven u Belgiji otkrili su ove ranjivosti i zajednički ih nazvali WhisperPair. Identifikovali su propuste u 17 audio dodataka koji koriste Fast Pair, a koje proizvodi 10 velikih kompanija, uključujući Sony, JBL, Jabra, Xiaomi, Logitech i sam Google. Tokom testiranja, napadači su uspevali da preuzmu uređaje sa udaljenosti do oko 15 metara, često za manje od 15 sekundi.
Kada se jednom upari, napadač može da prekine ili preuzme telefonske razgovore, ubacuje sopstveni zvuk pri bilo kojoj jačini ili neprimetno aktivira mikrofone kako bi slušao razgovore u okruženju. Kako istraživači navode, napadač u tom trenutku faktički postaje vlasnik uređaja, sa vrlo malo tehničkih ograničenja.
Od prisluškivanja do praćenja lokacije
Najozbiljniji nalazi odnose se na pojedine Google i Sony uređaje koji su povezani sa Google-ovim sistemom za praćenje lokacije Find Hub. Ako uređaj prethodno nije bio povezan sa Google nalogom, na primer ako se koristio isključivo sa iPhone-om, napadač može prvi da ga upari i registruje kao svoj. Time se omogućava kontinuirano praćenje lokacije putem Find Hub mreže.
Iako Google i Apple imaju bezbednosne mehanizme koji treba da upozore korisnike da su praćeni, istraživači tvrde da oni u ovom slučaju mogu zakazati. Žrtva može dobiti obaveštenje da je njen sopstveni uređaj prati, što je lako protumačiti kao grešku u sistemu, a ne kao znak stvarnog uhođenja.
Zakrpe su tu - ali ne i ažuriranja
Google je priznao postojanje ranjivosti i objavio bezbednosno saopštenje, navodeći da je sarađivao sa istraživačima i proizvođačima uređaja na rešavanju problema. Neki proizvođači su već objavili ili najavili ažuriranja firmvera, koja se najčešće isporučuju putem posebnih aplikacija. Google je takođe objavio zakrpe za sopstvene uređaje i ažurirao Find Hub u okviru Androida.
Uprkos tome, istraživači upozoravaju da će veliki broj ranjivih uređaja ostati nezaštićen još dugo. Ažuriranje slušalica i zvučnika obično zahteva instaliranje aplikacije proizvođača, što mnogi korisnici nikada ne urade ili čak ne znaju da je potrebno. U nekim slučajevima, istraživači su uspeli i da zaobiđu Google-ove početne zakrpe, što dodatno dovodi u pitanje njihovu efikasnost.
Dublji problem standarda i kontrole kvaliteta
U osnovi napada WhisperPair nalazi se kršenje samih Fast Pair specifikacija, koje jasno navode da uređaji ne bi smeli da prihvataju nova uparivanja dok su već povezani sa vlasnikom. Ipak, svi pogođeni uređaji prošli su Google-ov proces sertifikacije za Fast Pair. To ukazuje na propuste ne samo kod proizvođača uređaja ili čipova, već i u sistemima provere koji bi takve greške trebalo da otkriju.
Istraživači smatraju da je neophodna suštinska promena. Fast Pair bi morao kriptografski da potvrđuje vlasništvo i u potpunosti spreči neautorizovana uparivanja. Do tada, WhisperPair ostaje upozorenje koliko funkcije osmišljene radi praktičnosti mogu postati bezbednosni rizik ako se zaštita zanemari. Kako istraživači naglašavaju, jednostavnije korišćenje ne mora značiti slabiju bezbednost, ali samo ako se bezbednost tretira kao osnovni zahtev, a ne kao sporedna briga.
Zabranjeno preuzimanje dela ili čitavog teksta i/ili foto/videa, bez navođenja i linkovanja izvora i autora, a u skladu sa odredbama WMG uslova korišćenja i Zakonom o javnom informisanju i medijima.
BONUS VIDEO:
Zaspala je za volanom, a onda se desio obrt