Технология Google Fast Pair предназначена для быстрого и удобного соединения беспроводных устройств по Bluetooth. Благодаря простому однокнопочному подключению пользователи избавлены от необходимости вводить коды или проходить сложные меню. Однако недавно обнаруженные уязвимости ставят под угрозу безопасность и приватность владельцев этих устройств. Исследователи из KU Leuven выявили недостатки протокола Fast Pair, получившие название WhisperPair, которые позволяют злоумышленникам тайком подключаться к наушникам, колонкам или наушникам-вкладышам, а в некоторых случаях — отслеживать местоположение пользователя.
Что из себя представляет уязвимость и как она работает
Fast Pair функционирует за счет трансляции идентификатора устройства, что ускоряет процесс сопряжения с другим гаджетом. Но при этом многие устройства игнорируют важное правило — принимать новые соединения только в режиме сопряжения. В результате злоумышленник, находясь поблизости, может за 10–15 секунд подключиться к устройству без ведома владельца. После этого он может прерывать звонки, вводить произвольный звук или активировать микрофон, что создает угрозу приватности.
Злоумышленник не требует специализированного оборудования — для атаки достаточно обычного смартфона, ноутбука или даже недорогого устройства типа Raspberry Pi. После подключения злоумышленник получает полноценный контроль, фактически становясь владельцем устройства.
Обнаруженные модели и потенциальные риски
Исследование охватило 17 устройств от ведущих брендов: Sony, Jabra, JBL, Marshall, Xiaomi, Nothing, OnePlus, Logitech и Google. Несмотря на прохождение сертификации Google, эти гаджеты оказались уязвимы. Особенно опасны модели, интегрированные с сервисом Find Hub, который использует поблизости расположенные устройства для определения местоположения. Если устройство никогда не связывалось с аккаунтом Google, злоумышленник может его «похитить», что позволяет постоянно отслеживать перемещения пользователя. В случае появления уведомлений о слежке многие могут принять их за ошибку, что увеличивает риск.
Проблемы с обновлениями и безопасность
Еще одна важная проблема — отсутствие своевременных обновлений прошивки. Для их установки зачастую требуется установка фирменных приложений, которыми многие пользователи не пользуются. В результате уязвимые устройства могут оставаться под угрозой долгие месяцы или даже годы.
Обновление программного обеспечения — единственный способ устранить уязвимости. Хотя многие производители уже выпустили патчи, не все модели получили их. Пользователям рекомендуется самостоятельно проверять наличие обновлений у производителя и своевременно их устанавливать.
Как защититься и что делать сейчас
- Проверяйте наличие актуальной прошивки — используйте официальные приложения производителей.
- Рекомендуется устанавливать обновления сразу после их выхода.
- При подключении новых устройств старайтесь делать это в приватных местах — избегайте публичных пространств, где рядом могут находиться злоумышленники.
- Обратите внимание на необычные звуки или прерывания связи — это может быть признаком незаконного подключения.
- Перед использованием рекомендуется сбрасывать настройки и удалять все ненужные соединения.
- Следите за уведомлениями о слежке или использовании Find Hub, даже если они кажутся вам ложными.
- Ограничьте использование Bluetooth — выключайте его, когда он не нужен, чтобы снизить риск.
Что говорит Google и как минимизировать риски
Google заявляет, что сотрудничает с исследователями и уже начал отправлять рекомендации и патчи производителям аксессуаров. Компания подчеркнула, что основные уязвимости возникли из-за недостаточного соблюдения стандартов протокола Fast Pair со стороны некоторых производителей. В ответ Google обновила свои требования по сертификации, чтобы усилить проверку правил сопряжения и предотвратить подобные атаки.
Для пользователей важным шагом является проверка наличия обновлений прошивки и своевременное их применение. Используйте публичный инструмент whisperpair.eu/vulnerable-devices, чтобы узнать, подвержено ли ваше устройство риску.
Защита Bluetooth-устройств требует бдительности: включайте его только в момент использования, избегайте публичных мест для соединения и регулярно обновляйте программное обеспечение. В противном случае, даже на первый взгляд безобидные наушники или колонки могут стать каналом для злоумышленников, нарушая вашу приватность и безопасность.