Google Fast Pair-də təhlükəli boşluq: 17 audio cihaz dinləmə riski altındadır

    Bluetooth qulaqlıq istifadəçiləri üçün ciddi təhlükəsizlik xəbərdarlığı edilib. Wired nəşrinin məlumatına görə, Google Fast Pair (bir toxunuşla qoşulma) texnologiyasında aşkarlanan boşluq səbəbilə 17 fərqli audio cihaz modeli haker hücumlarına açıq ola bilər. Bu boşluq hücum edən şəxslərə cihazın mikrofonuna çıxış, səs ötürmə və hətta istifadəçinin yerinin izlənməsi imkanı verə bilər.

    Boşluq Belçikanın KU Leuven Universitetinin tədqiqatçıları tərəfindən aşkar edilib və “WhisperPair” adlandırılıb. Tədqiqatçıların sözlərinə görə, hakerin yalnız cihazın model nömrəsini bilməsi və Bluetooth məsafəsində olması kifayətdir. Hücum prosesi cəmi 15 saniyədən az vaxt apara bilər.

    Problem Google Fast Pair protokolunun bəzi istehsalçılar tərəfindən səhv tətbiq edilməsindən qaynaqlanır. Normalda Fast Pair yalnız cihaz “pairing mode”da olduqda yeni bağlantıya icazə verməlidir. Lakin bu səhv səbəbilə qulaqlıq və ya dinamik artıq başqa telefona qoşulu olsa belə, üçüncü bir cihaz tərəfindən ələ keçirilə bilər.

    Google bildirib ki, boşluq avqust ayında onlara bildirilib və o vaxtdan etibarən istehsalçı tərəfdaşlarla birlikdə həll üzərində işlənilir. Şirkət həmçinin qeyd edib ki, indiyə qədər real istifadəçilərə qarşı istismar faktı aşkarlanmayıb, lakin istifadəçilərə cihazlarının firmware yeniləmələrini yoxlamağı tövsiyə edir.

     Risk təkcə Android istifadəçiləri ilə məhdudlaşmır. Tədqiqatçılar deyir ki, əgər audio cihaz heç vaxt Google hesabı ilə qoşulmayıbsa, haker onu öz Google hesabına bağlaya və Find Hub vasitəsilə istifadəçinin yerini izləyə bilər. Google bu ssenari üçün düzəliş etdiyini desə də, tədqiqatçılar qısa müddətdə bu düzəlişdən yan keçməyin yolunu tapdıqlarını bildiriblər.

    Təsirlənən cihazlar Sony, Jabra, JBL, Marshall, Xiaomi, Nothing, OnePlus, Soundcore, Logitech və Google daxil olmaqla 10 fərqli şirkətə məxsusdur. Google Pixel Buds modellərinin artıq yenilənərək qorunduğu açıqlanıb. Tədqiqatçılar istifadəçilərin cihazlarının risk altında olub-olmadığını yoxlamaq üçün xüsusi axtarış aləti də yayımlayıblar.

     Əsas problem isə odur ki, bir çox istifadəçi qulaqlıq və dinamiklər üçün tələb olunan istehsalçı tətbiqlərini yükləmir, bu da yeniləmələrin edilməməsinə və təhlükəsizliyin zəif qalmasına səbəb olur.