ثغرة WhisperPair وتأثيرها
تكشف الدراسة التي قام بها باحثون أمنيون من KU Leuven عن ثغرة باسم WhisperPair تؤثر في مئات الملايين من الملحقات الصوتية التي تدعم بروتوكول Google Fast Pair. يمكن للمهاجمين ضمن نطاق Bluetooth القريب استغلال سوء تطبيق المواصفات من قبل الشركات المصنعة، فتظل الأجهزة مفتوحة أمام طلبات الاقتران وتبقى جاهزة للاتصال في أي وقت دون إذن من المستخدم. وبناء عليه، يمكن حقن أصوات غريبة، أو التحكم بمستوى الصوت، أو تفعيل الميكروفون في بعض الحالات، وحتى تسجيل الملحق في حساب Find My Device الخاص بالمهاجم قبل أن يفعل المستخدم ذلك، ما يتيح تتبع تحركات الضحية عبر شبكة Find My من Google.
تكمن المشكلة في أن تطبيق Fast Pair يفتقر إلى معيار موحد واضح عبر جميع الشركات المصنّعة، فتصير الأجهزة غير ملتزمة بوضع الاقتران اليدوي وتظل مفتوحة للطلبات الجديدة في أي لحظة. وحتى في حال صدرت تصحيحات من Google، تبقى الملايين من الأجهزة الرخيصة بلا تحديثات موثوقة، مما يجعلها عرضة للاختراق على المدى الطويل بسبب غياب ثقافة التحديث الأمني لدى كثير من المصنعين.
التحديات في سلاسل التوريد وتحديث الملحقات
يمثل WhisperPair تحديًا كبيرًا لأمن إنترنت الأشياء، إذ أن كثيرًا من الملحقات الرخيصة تفتقر إلى آليات تحديث البرمجيات الثابتة. حتى لو وفرت Google حلاً للبروتوكول، ستظل ملايين الأجهزة في الأسواق معرضة للاختراق بسبب غياب سياسات تحديث أمني منتظمة لدى المصنعين وتدني مقاييس الرقابة على جودة التحديثات.
مخاطر تتبع الموقع عبر الشبكات السحابية
تبرز المخاطر في قدرة المهاجم على تسجيل جهاز الضحية في حساب Find My Device بنطاقه، فيتحول الملحق إلى أداة تتبع مادية. هذا التهديد يتجاوز مجرد سرقة البيانات الرقمية ليصل إلى السلامة الشخصية للمستخدم، ما يستدعي تدخلاً تنظيمياً لفرض معايير أمان صارمة على جميع الأجهزة التي تتصل بالهواتف عبر تقنيات الاقتران السريع لضمان حماية الخصوصية والموقع الجغرافي.
