Έρευνα KU Leuven: ευπάθειες στο Google Fast Pair εκθέτουν εκατομμύρια χρήστες σε hacking και tracking
Η ασφάλεια των ασύρματων συσκευών ήχου αντιμετωπίζει μια νέα πρόκληση, μετά την προειδοποίηση ερευνητών του Πανεπιστημίου KU Leuven στο Βέλγιο.
Οι ειδικοί εντόπισαν ευπάθειες στην τεχνολογία Fast Pair της Google, οι οποίες θα μπορούσαν να εκθέσουν εκατομμύρια χρήστες Bluetooth ακουστικών σε κινδύνους χακαρίσματος.
Οι ειδικοί αναγνώρισαν σφάλματα που θα επέτρεπαν σε τρίτους να πάρουν έλεγχο συσκευών και να εντοπίσουν την τοποθεσία τους από απόσταση έως και 14 μέτρων.
WhisperPair: τι αποκαλύπτει η μελέτη
Η μελέτη, με την ονομασία WhisperPair, αναφέρει ότι το πρόβλημα επηρεάζει προϊόντα από γνωστές μάρκες όπως Sony, Harman και την ίδια την Google.
Οι ερευνητές σημείωσαν ότι οι δοκιμές τους «δείχνουν πως μια μικρή βελτίωση χρηστικότητας μπορεί να εισαγάγει κινδύνους ασφάλειας και ιδιωτικότητας μεγάλης κλίμακας για εκατοντάδες εκατομμύρια χρήστες».
Τι είναι το Fast Pair και γιατί είναι κρίσιμο
Η λειτουργία Fast Pair, που εισήγαγε η Google το 2017, διευκολύνει τη σύνδεση Bluetooth συσκευών με Android ή Chrome OS με ένα άγγιγμα.
Η εταιρεία αναγνώρισε την ύπαρξη των σφαλμάτων και ανέφερε ότι έχει εφαρμόσει security patches για ορισμένα προϊόντα της, όπως τα Pixel Buds Pro.
Η απάντηση της Google και οι ενημερώσεις ασφαλείας
Εκπρόσωπος της Google δήλωσε στο CNET ότι:
- «έχουν ενημερωθεί τα συστήματα για μέρος των δικών της audio συσκευών» και
- ότι κάποιες ευπάθειες προέκυψαν επειδή «άλλες εταιρείες δεν ακολούθησαν σωστά τις προδιαγραφές του Fast Pair».
Σύμφωνα με την Google, οι κατασκευαστές ειδοποιήθηκαν για τα ζητήματα αυτά τον περασμένο Σεπτέμβριο.
Η απάντηση της εταιρείας υπογραμμίζει τη συνεργασία με ερευνητές μέσω του προγράμματος ανταμοιβών για ευπάθειες (bug bounty):
«Εκτιμούμε τη συνεργασία με ειδικούς ασφάλειας, που μας βοηθά να διατηρούμε ασφαλείς τους χρήστες μας. Εργαζόμαστε μαζί τους για να διορθώσουμε αυτά τα σφάλματα και δεν έχουμε δει ενδείξεις εκμετάλλευσης εκτός ελεγχόμενου εργαστηριακού περιβάλλοντος».
Ως πρόσθετο μέτρο, η Google προτείνει στους χρήστες να ελέγχουν αν τα ακουστικά τους διαθέτουν το πιο πρόσφατο firmware.
Τι είπε η Google για τον κίνδυνο εντοπισμού (tracking)
Για την ανησυχία περί εντοπισμού συσκευών, η εταιρεία δήλωσε:
«Υλοποιήσαμε λύση για να αποτρέψουμε την παροχή δικτύου Find Hub σε αυτό το σενάριο, εξαλείφοντας πλήρως τον πιθανό κίνδυνο εντοπισμού σε όλες τις συσκευές».
Patches σε Wear OS και Pixel
Μέσα στον μήνα, η Google δημοσίευσε δύο ενημερώσεις ασφαλείας:
- μία για το Wear OS
- μία για συσκευές Google Pixel
και οι δύο περιλαμβάνουν λεπτομέρειες για τις διορθώσεις που εφαρμόστηκαν.
Εργαλείο ελέγχου ευπάθειας και ενημέρωση software
Η ομάδα WhisperPair ανακοίνωσε ότι ετοιμάζει ακαδημαϊκό άρθρο με περισσότερες τεχνικές λεπτομέρειες.
Παράλληλα, στον ιστότοπό της έχει ενεργοποιήσει εργαλείο ώστε οι χρήστες να ελέγχουν:
- ποια μοντέλα είναι ευάλωτα
- πώς μπορούν να ενημερώσουν το λογισμικό τους
Ο ιστότοπος προειδοποιεί επίσης ότι πολλοί χρήστες δεν γνωρίζουν πόσο σημαντικό είναι να κρατούν ενημερωμένο το firmware των Bluetooth ακουστικών τους, κάτι που παρατείνει την έκθεση σε κινδύνους.
Μέχρι στιγμής, η επίσημη σελίδα γνωστών προβλημάτων του Fast Pair δεν προσφέρει αναλυτικές πληροφορίες για αυτές τις ευπάθειες.
Αυτό ώθησε τους ερευνητές να δημοσιοποιήσουν την κατάσταση και μέσω άλλων πλατφορμών, συμπεριλαμβανομένων βίντεο στο YouTube.
Bug bounty και χρονοδιάγραμμα δημοσιοποίησης
Για τη δουλειά αυτή, η ομάδα του KU Leuven έλαβε ανταμοιβή 15.000 δολαρίων από την Google και συμφώνησε σε προθεσμία 150 ημερών για τη δημόσια κοινοποίηση των τεχνικών λεπτομερειών, δίνοντας χρόνο στους κατασκευαστές να εφαρμόσουν τις απαραίτητες λύσεις.
Τι μπορείς να κάνεις άμεσα για να μειώσεις τον κίνδυνο (πρακτικός οδηγός)
Η είδηση δεν σημαίνει ότι «όλοι χακάρονται», αλλά ότι πρέπει να αντιμετωπίζεις τα Bluetooth ακουστικά σαν υπολογιστική συσκευή που χρειάζεται ενημερώσεις.
Οι πιο χρήσιμες κινήσεις είναι απλές και μειώνουν σημαντικά το ρίσκο, ειδικά σε χώρους με πολύ κόσμο (ΜΜΜ, καφέ, αεροδρόμια).
1) Ενημέρωσε firmware και εφαρμογές του κατασκευαστή
- Άνοιξε την εφαρμογή του κατασκευαστή (Sony Headphones Connect, JBL κ.λπ.) και έλεγξε για firmware update.
- Στο Android, έλεγξε και για ενημερώσεις συστήματος (ρυθμίσεις → ενημέρωση λογισμικού).
- Αν τα ακουστικά σου είναι Pixel Buds/Google, βεβαιώσου ότι έχουν περάσει οι πιο πρόσφατες διορθώσεις.
2) «Καθάρισε» παλιές ζεύξεις (pairings)
Οι παλιές ή άγνωστες ζεύξεις αυξάνουν τη σύγχυση και τον κίνδυνο λάθος σύνδεσης:
- Διέγραψε συσκευές που δεν χρησιμοποιείς (Bluetooth → αποθηκευμένες συσκευές → Κατάργηση/Unpair).
- Κάνε factory reset στα ακουστικά αν έχεις δανείσει τη συσκευή ή έχει συνδεθεί σε πολλά κινητά.
3) Έλεγξε ρυθμίσεις εντοπισμού (Find Hub / Find My Device)
Αν δεν χρησιμοποιείς λειτουργίες εύρεσης/εντοπισμού:
- απενεργοποίησέ τες ή περιόρισέ τες στις απαραίτητες άδειες
- έλεγξε ποια apps έχουν πρόσβαση σε Τοποθεσία και Nearby devices
4) Τι να κάνεις αν υποψιάζεσαι ύποπτη συμπεριφορά
Ενδείξεις όπως τυχαίες αποσυνδέσεις, περίεργα prompts σύνδεσης ή αλλαγές ονόματος συσκευής:
- κλείσε Bluetooth προσωρινά
- κάνε unpair + reset
- ενημέρωσε firmware και άλλαξε βασικές ρυθμίσεις πριν ξανακάνεις pairing
Τι να κρατήσεις ως συμπέρασμα (και τι να ζητάς από τις εταιρείες)
Η ευχρηστία συχνά «ανοίγει» επιφάνειες επίθεσης
Λειτουργίες όπως το Fast Pair είναι σχεδιασμένες για ταχύτητα και άνεση, αλλά όταν η υλοποίηση δεν ακολουθεί σωστά τις προδιαγραφές, μπορεί να δημιουργήσει κενά που επηρεάζουν τεράστια κλίμακα χρηστών.
Τι να αναζητάς πριν αγοράσεις Bluetooth ακουστικά
- Συχνότητα firmware updates (όχι μόνο «μια φορά τον χρόνο»)
- Ξεκάθαρη πολιτική ασφαλείας/ανακοινώσεις patches
- Εύκολη διαδικασία ενημέρωσης (χωρίς πολύπλοκα βήματα)
 μπορεί να επιτρέψουν hack εντοπισμό Bluetooth ακουστικών — τι να κάνεις τώρα, εύκολα){kind=link}