Беспроводные наушники оказались уязвимы для прослушивания и отслеживания

Исследователи Лёвенского католического университета (KU Leuven) раскрыли детали масштабной угрозы безопасности, получившей кодовое имя WhisperPair. Уязвимость обнаружена в механизме быстрого сопряжения Google Fast Pair и ставит под удар сотни миллионов аудиоустройств по всему миру. Согласно техническим данным с ресурса Whisperpair. eu, программный просчет позволяет посторонним лицам инициировать несанкционированное соединение с гарнитурой в обход стандартных процедур подтверждения пользователем.

Уязвимости подвержены флагманские модели таких брендов, как Sony, JBL, Marshall и Nothing. Техническая ошибка заключается в том, что устройства не проверяют наличие активного режима сопряжения при получении запроса на соединение. Это позволяет атакующему, находящемуся в радиусе до 14 метров, установить контроль над наушниками всего за 10 секунд. В результате становится возможным несанкционированное использование встроенных микрофонов для прослушивания частных разговоров, а также управление воспроизведением аудио.

Особую опасность для пользователей представляет риск скрытой слежки. Если наушники ранее не были привязаны к аккаунту Android, злоумышленник может зарегистрировать их на свою учетную запись в сети Google «Найти устройство» (Find My Device). Это позволяет отслеживать геолокацию владельца в режиме реального времени. По словам исследователей, единственным способом устранения угрозы является обновление прошивки аксессуаров, так как отключить функцию Fast Pair на большинстве устройств невозможно.