Saugumo tyrinėtojai aptiko kritinį „Google“ greitosios poros protokolo pažeidžiamumą, kuris gali leisti užpuolikams užgrobti „Bluetooth“ garso priedus, sekti vartotojus ir klausytis jų pokalbių.
Trūkumas (pažymėtas kaip CVE-2025-36911 ir pavadintas „WhisperPair“) paveikia šimtus milijonų belaidžių ausinių, ausinių ir garsiakalbių iš kelių gamintojų, kurie palaiko „Google“ greitojo susiejimo funkciją. Tai paveikia vartotojus, nepaisant jų išmaniųjų telefonų operacinės sistemos, nes trūkumas slypi pačiuose prieduose, o tai reiškia, kad „iPhone“ naudotojams, turintiems pažeidžiamus „Bluetooth“ įrenginius, taip pat gresia pavojus.
Jį atradę KU Leuven kompiuterių saugos ir pramoninės kriptografijos grupės mokslininkai aiškina, kad pažeidžiamumas kyla dėl netinkamo greitosios poros protokolo įdiegimo daugelyje pavyzdinių garso priedų.
Nors „Fast Pair“ specifikacijoje teigiama, kad „Bluetooth“ įrenginiai turėtų nepaisyti susiejimo užklausų, kai jie nėra susiejimo režimu, daugelis pardavėjų šio patikrinimo neįgyvendino savo gaminiuose, todėl neleistini įrenginiai gali inicijuoti susiejimą be vartotojo sutikimo ar žinios.
„Norėdamas pradėti „Fast Pair” procedūrą, „Seeker” (telefonas) siunčia Teikėjui (priedui) pranešimą, nurodydamas, kad jis nori susieti. „Fast Pair” specifikacijoje teigiama, kad jei priedas nėra susiejimo režimu, jis turėtų nepaisyti tokių pranešimų”, – sakė mokslininkai.
„Tačiau daugeliui įrenginių nepavyksta atlikti šio patikrinimo praktikoje, todėl neleistini įrenginiai gali pradėti susiejimo procesą. Gavęs atsakymą iš pažeidžiamo įrenginio, užpuolikas gali užbaigti greito susiejimo procedūrą nustatydamas įprastą „Bluetooth” susiejimą.”
Užpuolikai gali išnaudoti „WhisperPair“ trūkumą naudodami bet kurį „Bluetooth“ palaikantį įrenginį (pvz., nešiojamąjį kompiuterį, „Raspberry Pi“ ar net telefoną), kad priverstinai susietų su pažeidžiamais „Google“, „Jabra“, „JBL“, „Logitech“, „Marshall“, „Nothing“, „OnePlus“, „Sony“, „Soundcore“ ir „Xiaomi“ priedais iki 14 metrų fizinės prieigos per sekundę arba 14 metrų atstumu.
Susieję jie įgyja visišką garso įrenginio valdymą, leidžiantį leisti garsą dideliu garsumu arba klausytis vartotojų pokalbių per įrenginio mikrofoną.
CVE-2025-36911 taip pat leidžia užpuolikams stebėti savo aukų vietą naudojant „Google Find Hub“ tinklą, jei priedas niekada nebuvo susietas su „Android“ įrenginiu, pridedant įrenginį prie savo „Google“ paskyros.
„Auka gali pamatyti nepageidaujamą stebėjimo pranešimą po kelių valandų ar dienų, tačiau šis pranešimas parodys jo paties įrenginį“, – pridūrė jie. „Dėl to vartotojai gali atmesti įspėjimą kaip klaidą, o tai leidžia užpuolikui ilgą laiką sekti auką.
„Google“ tyrėjams skyrė 15 000 USD, didžiausią įmanomą premiją, ir bendradarbiavo su gamintojais, kad išleistų saugos pataisas per 150 dienų atskleidimo langą. Tačiau jie pažymėjo, kad saugos naujinimai, sprendžiantys šią trūkumą, dar gali būti prieinami ne visiems pažeidžiamiems įrenginiams.
Vienintelė apsauga nuo užpuolikų, užgrobančių pažeidžiamus „Fast Pair“ įgalintus „Bluetooth“ priedus, yra įrenginių gamintojų programinės aparatinės įrangos naujinimų įdiegimas. Greito susiejimo išjungimas Android telefonuose neapsaugo atakos, nes šios funkcijos negalima išjungti pačiuose prieduose.
Tai biudžetinis sezonas! Daugiau nei 300 CISO ir saugumo lyderių pasidalijo, kaip planuoja, išleidžia ir nustato prioritetus ateinantiems metams. Šioje ataskaitoje pateikiamos jų įžvalgos, leidžiančios skaitytojams palyginti strategijas, nustatyti naujas tendencijas ir palyginti savo prioritetus artėjant 2026 m.
Sužinokite, kaip aukščiausio lygio lyderiai investicijas paverčia išmatuojamu poveikiu.
