اكتشفت مجموعة من الباحثين في جامعة KU Leuven ثغرة تُعرف باسم WhisperPair في بروتوكول Google Fast Pair، وتؤثر على مئات الملايين من الملحقات الصوتية التي تعتمد هذا البروتوكول للاتصال بالهواتف.
ثغرة WhisperPair وتأثيرها
تتيح الثغرة للمهاجمين ضمن نطاق Bluetooth الاستغلال في إبقاء الأجهزة مفتوحة لقبول طلبات الاقتران الجديدة في أي وقت، ما يفتح باب التجسس الصوتي وتتبع الموقع.
بمجرد اقتران المهاجم بالجهاز، يمكنه حقن أصوات غريبة، أو التحكم في مستوى الصوت، أو تفعيل الميكروفون في بعض الحالات.
الأخطر من ذلك هو إمكانية تسجيل الملحق في حساب Find My Device الخاص بالمهاجم قبل أن يفعل المالك ذلك، مما يتيح تتبع تحركات الضحية باستمرار عبر شبكة المواقع التابعة لـ Google.
تحديات سلسلة التوريد والتحديث الأمني
تمثل WhisperPair تحديًا هائلاً للأمن في عصر إنترنت الأشياء، إذ أن العديد من الملحقات الرخيصة تفتقر إلى آليات تحديث البرمجيات الثابتة. حتى لو أصلحت Google البروتوكول، فإن الملايين من الأجهزة المتداولة قد تظل عرضة للاختراق دائماً بسبب غياب ثقافة التحديث الأمني لدى المصنّعين.
التداعيات التنظيمية والتوصيات
يتحول القبض على الجهاز المصاب في حساب المهاجم ضمن شبكة Find My Device إلى أداة لتتبّع الموقع الفعلي للمستخدم، وهو تهديد يتجاوز سرقة البيانات الرقمية إلى مخاطر السلامة الشخصية، الأمر الذي يستدعي تدخلاً تنظيمياً لفرض معايير أمنية صارمة على جميع الأجهزة التي تتصل بالهواتف عبر بروتوكولات الاقتران السريع.
