Ряд Bluetooth-аудиоустройств от компаний Sony, Anker и Nothing оказался подвержен серьезной уязвимости в системе безопасности. Злоумышленники получили возможность тайно подслушивать разговоры пользователей и отслеживать местоположение гаджетов через сервис Google Find Hub.
Специалисты по кибербезопасности из команды Computer Security and Industrial Cryptography обнаружили слабые места в протоколе Google Fast Pair. Эти уязвимости позволяют атакующему, находящемуся в зоне действия Bluetooth, незаметно подключаться к отдельным моделям наушников и портативных колонок. Выявленная серия атак, получившая название WhisperPair, представляет угрозу не только для владельцев Android-устройств, но и для пользователей iPhone.
Fast Pair предназначен для быстрого и удобного сопряжения Bluetooth-аксессуаров с устройствами на базе Android и Chrome OS — достаточно одного касания экрана. Однако, как отмечают исследователи, многие производители некорректно реализовали эту технологию, проигнорировав рекомендацию Google, запрещающую подключение к новому устройству при уже активном соединении.
В ходе тестирования атака WhisperPair оказалась успешной на 17 из более чем 20 проверенных устройств. Эксперты смогли удаленно воспроизводить звук на любой громкости, перехватывать телефонные разговоры и использовать встроенные микрофоны для скрытого прослушивания окружающих.
