وصف الثغرة وآلياتها
أعلن باحثون من جامعة لوڤين الكاثوليكية في بلجيكا عن اكتشاف ثغرة تعرف باسم WhisperPair في تقنية Google Fast Pair. وأوضحوا أن الخلل يعود إلى تطبيق غير صحيح لميزة الاقتران السريع لدى بعض الشركات المصنّعة، فالمفترض أن تسمح Fast Pair بالاتصال فقط عندما يكون الجهاز في وضع الاقتران، لكن الخلل يسمح بإتمام الإقتران حتى بعد اكتماله. ويمكن للمهاجم ضمن مدى قريب تشغيل ميكروفون السماعة والاستماع إلى الأصوات المحيطة، إضافة إلى احتمال حقن صوت داخل الجهاز وتتبع موقع المستخدم عبر ربط الجهاز بحساب Google، وذلك خلال أقل من 15 ثانية.
آليات العمل وتأثيرها المحتمل
توضح نتائج البحث أن الخلل يستند إلى تطبيق غير صحيح لميزة الاقتران السريع لدى بعض الشركات، ما يجعل من الممكن إجراء اقتران حتى بعد اكتمال العملية الأساسية. ويمكن للمهاجم تشغيل ميكروفون السماعة والاستماع إلى المحيط، إضافة إلى إمكانة حقن صوت داخل الجهاز وتتبع موقع المستخدم عبر ربط الجهاز بحساب Google واستخدام أدوات التتبع، وذلك عندما يكون الجهاز ضمن نطاق البلوتوث وبوجود القرب المناسب.
ردود الفعل والتحديثات الرسمية
أكدت جوجل أنها أبلغت شركاءها بالحُلول المقترحة منذ سبتمبر، وأنها لم ترصد استغلالًا حقيقيًا خارج المختبر. كما أشارت إلى أن سماعات Pixel Buds المتأثرة تم إصلاحها بالفعل. وتؤكد تقارير أن الثغرة تؤثر على أجهزة من شركات متعددة حاصلة على اعتماد Fast Pair، بما في ذلك سوني وجابرا وجي بي إل ومارشل وشومي وناثينج ون ون بلس وساوندكور ولوجيتك وجوجل، وتواصل بعض الشركات مثل ون بلس إجراءات تحقيق داخلي.
إرشادات حماية المستخدمين
ينبغي على المستخدمين تحديث البرامج الثابتة لسماعات البلوتوث فورًا، وتثبيت تطبيق الشركة المصنّعة لمتابعة التحديثات، وتجنب ترك البلوتوث مفعّلًا في الأماكن العامة إلا عند الحاجة.
