ثغرة WhisperPair وتأثيرها على Google Fast Pair
أطلق باحثون من جامعة لوفين الكاثوليكية في بلجيكا اسم WhisperPair على الثغرة، وشرحوا أنها ناجمة عن تطبيق غير صحيح لميزة الاقتران السريع من قبل بعض الشركات المصنّعة، المفترض أن تسمح Fast Pair بالاتصال فقط حين يكون الجهاز في وضع الاقتران، لكن الخلل يسمح بالاقتران حتى بعد اكتماله.
أوضح الباحثون أن الخلل يتيح للمهاجم تشغيل ميكروفون السماعة والاستماع للأصوات المحيطة، وحقن صوت داخل الجهاز، إضافة إلى تتبع موقع المستخدم عبر ربط الجهاز بحساب Google واستخدام أدوات التتبع، وذلك خلال أقل من 15 ثانية إذا كان الجهاز قريبًا بما يكفي.
أكدت Google أنها أبلغت شركاءها بالحُلول المقترحة منذ سبتمبر، وأنها لم ترصد استغلالًا حقيقيًا خارج المختبر، كما أشارت إلى أن سماعات Pixel Buds المتأثرة قد تم إصلاحها بالفعل.
أفادت شركات مثل سوني وجابرا وجي بي إل ومارشال وشاومي وناثينغ وون بلس وساوندكور ولوجيتك وجوجل بأن الثغرة تمس أجهزة معتمدة على Fast Pair، وأكدت بعض الشركات مثل OnePlus أنها تجري تحقيقات داخلية.
نفّذ المستخدمون تحديثات البرامج الثابتة لسماعات البلوتوث فورًا، وتابعوا عبر تطبيق الشركة المصنّعة لمتابعة التحديثات، وتجنبوا ترك البلوتوث مفعّلًا دون حاجة في الأماكن العامة.
