ثغرة WhisperPair في Google Fast Pair
كشفت دراسة من جامعة لوفين الكاثوليكية في بلجيكا عن ثغرة تعرف بـ WhisperPair في تقنية Google Fast Pair، نتيجة تطبيق غير صحيح لميزة الاقتران السريع من قبل بعض الشركات المصنّعة، التي كان من المفترض أن تتيح الاتصال فقط أثناء وضع الاقتران لكن الخلل يسمح بالاقتران حتى بعد اكتماله.
كيف تعمل الثغرة وما يمكن أن يفعله المهاجم
يمكن للمهاجم تشغيل ميكروفون السماعة والاستماع إلى الأصوات المحيطة، وربما حقن صوت داخل الجهاز، إضافة إلى تتبع موقع المستخدم عبر ربط الجهاز بحساب Google واستخدام أدوات التتبع، وذلك خلال أقل من 15 ثانية إذا كان الجهاز قريبًا بما يكفي من المهاجم عبر نطاق البلوتوث.
ردود الشركات وموقف Google
أفادت Google بأنها أبلغت شركاءها بالحلول الموصى بها منذ سبتمبر، ولم ترصد أي استغلال حقيقي خارج المختبر، كما أشارت إلى أن سماعات Pixel Buds المتأثرة قد أصلحت بالفعل.
الأجهزة المتأثرة والشركات المعنية
تطال الثغرة أجهزة من عدة شركات حاصلة على اعتماد Fast Pair، بما فيها سوني وجابرا وجي بي إل ومارشال وشاومي وناثينغ وون بلس وساوندكور ولوجيتك وجوجل، وأكدت بعض الشركات مثل OnePlus أنها تجري تحقيقات داخلية.
ماذا يجب على المستخدمين فعله
تحديث البرامج الثابتة لسماعات البلوتوث فورًا، وتثبيت تطبيق الشركة المصنّعة لمتابعة التحديثات، وتجنّب ترك البلوتوث مفعلًا دون حاجة في الأماكن العامة.
