- Os invasores podem hackear os microfones do seu alto-falante e rastrear sua localização
- A vulnerabilidade é encontrada no recurso Fast Pair do Google
- Pesquisadores dizem que a falha pode afetar milhões de dispositivos
Googlede Recurso de emparelhamento rápido destina-se a permitir que você conecte seus fones de ouvido e alto-falantes ao seu Android ou dispositivo ChromeOS com apenas um toque. No entanto, agora parece que o preço dessa conveniência é uma vulnerabilidade de segurança que pode deixar milhões de dispositivos abertos a hackers e bisbilhoteiros.
Essa descoberta surpreendente foi feita por pesquisadores de segurança do grupo de Segurança de Computadores e Criptografia Industrial da Universidade KU Leuven da Bélgica (via Com fio), que estão dublando a coleção de vulnerabilidades SussurroPair.
Lá, uma investigação descobriu que 17 modelos principais de fones de ouvido e alto-falantes poderiam ser acessados por hackers com a mesma facilidade que usuários comuns. Os dispositivos são fabricados por empresas de todo o setor, incluindo Google, Jabra, JBL, LogitechMarshall, Nada, OnePlus, SonySoundcore e Xiaomi.
Na prática, um intruso pode potencialmente obter poder sobre o microfone e os alto-falantes do seu dispositivo ou até mesmo rastrear sua localização. Isso permitiria que eles reproduzissem seu próprio áudio em seus fones de ouvido ou ligassem silenciosamente seus microfones e escutassem suas conversas.
Se o dispositivo de destino for compatível com o Google Encontrar hub sistema de rastreamento de localização, eles poderiam segui-lo no mundo real. E por mais assustador que pareça, não é a primeira vez que Find Hub foi invadido por hackers perigosos.
Pior ainda, isso pode ser feito até mesmo se o dispositivo da vítima rodar iOS e o alvo nunca tiver usado um produto do Google antes. Se o seu dispositivo nunca foi conectado a uma conta do Google – o que pode ser o caso se você for um usuário do iPhone – um hacker pode não apenas espioná-lo, mas também associá-lo à sua própria conta do Google.
Isso ocorre porque o sistema do Google identifica o primeiro dispositivo Android que se conecta a alto-falantes ou fones de ouvido como o proprietário, uma fraqueza que permitiria que um hacker rastreasse sua localização em seu próprio aplicativo Find Hub.
Como funciona?
Para fazer isso, tudo o que um invasor precisa é estar dentro do alcance do Bluetooth e ter em mãos o ID do modelo do dispositivo alvo. Um hacker pode obter esse ID de modelo se possuir o mesmo modelo de dispositivo do alvo ou consultando uma API do Google disponível publicamente.
Uma maneira de o WhisperPair funcionar é através de uma falha na configuração de vários dispositivos do Fast Pair. O Google diz que um dispositivo emparelhado não deveria poder ser emparelhado com um segundo telefone ou computador. No entanto, os investigadores conseguiram contornar esta limitação com muita facilidade.
Como não há como desativar o Fast Pair em um dispositivo Android, você não pode simplesmente desligá-lo para evitar a vulnerabilidade. Muitas das empresas afetadas lançaram patches na tentativa de remediar o problema, mas os pesquisadores de segurança apontam que para obter essas correções é necessário baixar um aplicativo do fabricante e obter um patch de lá – algo que muitos usuários de alto-falantes e fones de ouvido não sabem que precisam fazer.
Se você possui um alto-falante ou um par de fones de ouvido de uma das empresas afetadas, é importante baixar o aplicativo e instalar a correção o mais rápido possível. UM Site WhisperPair foi criado que permite pesquisar em uma lista de dispositivos vulneráveis para ver se você provavelmente será afetado, portanto, verifique isso.
Os pesquisadores sugeriram que o Fast Pair deve impor criptograficamente o emparelhamento do dispositivo desejado e não deve permitir que um segundo usuário emparelhe sem autenticação. Mas até que isso aconteça, atualizar seus dispositivos é tudo que você pode fazer.
Siga o TechRadar no Google Notícias e adicione-nos como fonte preferencial para receber notícias, análises e opiniões de especialistas em seus feeds. Certifique-se de clicar no botão Seguir!
E é claro que você também pode Siga o TechRadar no TikTok para notícias, análises, unboxings em formato de vídeo e receba atualizações regulares nossas em WhatsApp também.