Tutkijat paljastivat WhisperPair-haavoittuvuuden Google Fast Pair -teknologiassa, joka uhkaa Android-puhelimia, iPhoneja ja Mac-tietokoneita. Opastamme suojaamaan laitteitasi.
© RusPhotoBank
Tutkijat ovat paljastaneet vakavan haavoittuvuuden Google Fast Pair -teknologiassa, joka voi vaikuttaa monien laitteiden omistajiin Android-puhelimista iPhoneihin ja Mac-tietokoneisiin. WhisperPairiksi nimetty turva-aukko mahdollistaa hyökkääjän yhdistämisen Bluetooth-laitteisiin ja niiden toimintojen täydellisen hallinnan. Pahantahtoiset toimijat voivat esimerkiksi toistaa ääntä, tallentaa mikrofonia tai seurata sijaintia, jos laite tukee Google Find Hub -palvelua.
Haavoittuvuus ei kuitenkaan ole puhelimessa tai kannettavassa, vaan itse lisälaitteessa. Kun laite yrittää yhdistää kuulokkeisiin tai korvanappuloihin Fast Pairin kautta, protokollan tulisi ohittaa pyynnöt, jos lisälaite ei ole pariliitostilassa. Monissa suosituissa malleissa tätä sääntöä ei kuitenkaan noudateta, minkä ansiosta hakkeri voi tietämättäsi yhdistää laitteeseen Bluetooth-alueella.
Testatuista haavoittuvista laitteista mainittakoon Google Pixel Buds (joille on jo julkaistu päivitys) ja Sony WH-1000XM -mallit. Applen laitteiden, kuten AirPodsien tai AirTagsien, käyttäjät ovat toistaiseksi turvassa, sillä ne eivät käytä Fast Pairia. Ongelman korjaaminen edellyttää kunkin laitteen firmware-päivitystä, mikä riippuu valmistajasta. Monille lisälaitteille päivitykset saattavat tulla myöhässä tai ei lainkaan.
WhisperPair korostaa Bluetooth-laitteiden turvallisuuden unohtamisen vaaroja. Jopa niinkin yksinkertainen toimenpide kuin kuulokkeiden yhdistäminen voi aiheuttaa valvonta- tai äänitallennusriskejä. Käyttäjien kannattaa tarkistaa laitteidensa firmware-päivitykset ja rajoittaa yhteyksiä tuntemattomiin lisälaitteisiin.