Milhões de fones de ouvido da Sony, JBL, Xiaomi e outras marcas correm o risco de serem hackeados após a descoberta de uma vulnerabilidade no Google Fast Pair.

Especialistas em cibersegurança da Universidade de Leuven (Bélgica) descobriram vulnerabilidades em dispositivos de áudio com Bluetooth que suportam o protocolo Fast Pair do Google. Um hipotético atacante poderia explorá-las para espionar o proprietário do dispositivo.

Fonte da imagem: Daniel Romero / unsplash.com

O Google desenvolveu o protocolo Fast Pair para acelerar o processo de conexão de fones de ouvido, headsets e alto-falantes sem fio a dispositivos Android e ChromeOS. Acontece que terceiros podem facilmente se conectar a periféricos de áudio vulneráveis, controlá-los e, em alguns casos, rastrear a localização do proprietário. Mesmo proprietários de iPhones da Apple que nunca usaram produtos do Google correm risco.

Pesquisadores belgas descobriram vulnerabilidades em 17 periféricos de áudio com Fast Pair habilitado, de 10 marcas: Sony, Jabra, JBL, Marshall, Xiaomi, Nothing, OnePlus, Soundcore, Logitech e o próprio Google. Para lançar o ataque, apelidado de WhisperPair, basta estar dentro do alcance do Bluetooth desses dispositivos — cerca de 15 metros — e o ataque leva menos de 15 segundos. Dependendo do dispositivo, um hacker hipotético poderia interceptar ou interromper fluxos de áudio ou conversas telefônicas, reproduzir seu próprio áudio em qualquer volume e até mesmo sequestrar microfones furtivamente para espionar a atividade ao redor. Alguns dispositivos da Google e da Sony possuem o recurso de geolocalização Google Find Hub, o que significa que sua localização pode ser rastreada com alta precisão.

Os autores do estudo notificaram a Google sobre a descoberta em agosto do ano passado; a empresa divulgou o incidente e informou sobre as medidas tomadas para corrigir o problema. A dificuldade reside no fato de que muitos proprietários desses dispositivos não se preocupam em atualizar o firmware ou instalar os aplicativos do fabricante, o que significa que nem sequer sabem que essas atualizações estão disponíveis.Isso significa que o ataque WhisperPair pode permanecer o mesmo.Essa vulnerabilidade permanecerá relevante para esses dispositivos por vários meses, senão anos. O Google, por sua vez, não apenas lançou atualizações de firmware para acessórios de áudio, como também alterou o serviço Find Hub do Android para impedir que invasores rastreiem pessoas. No entanto, pesquisadores belgas já encontraram uma maneira de contornar essa atualização.

Para lançar um ataque, um invasor precisa apenas estar dentro do alcance do Bluetooth de um dispositivo vulnerável e possuir o ID do modelo, que é exclusivo para cada modelo — este último pode ser obtido, por exemplo, por meio de uma API pública do Google. Durante seus experimentos, os pesquisadores tentaram se conectar a 25 dispositivos de 16 fabricantes diferentes, já emparelhados via Fast Pair, usando um computador de placa única Raspberry Pi 4 a uma distância de aproximadamente 14 metros. A maioria dos dispositivos era vulnerável e o ataque levou de 10 a 15 segundos. Se os dispositivos não estivessem previamente vinculados a uma conta do Google, um ataque WhisperPair poderia permitir que um potencial invasor os vinculasse à sua própria conta e rastreasse a vítima por meio do Google Find Hub. A vítima pode não suspeitar de nada se receber um aviso de que seus próprios fones de ouvido estão rastreando-a, descartando-o como uma falha. É impossível desativar o Fast Pair, mesmo que você nunca o utilize, e uma restauração de fábrica simplesmente forçaria o invasor a repetir a operação.

A vulnerabilidade ao ataque WhisperPair pode ter surgido devido a falhas na implementação do padrão técnico Fast Pair por fabricantes tanto de dispositivos quanto dos chips que os alimentam. O Google possui um aplicativo validador que verifica a implementação do Fast Pair em um dispositivo; a empresa também testa dispositivos compatíveis com Fast Pair em seus laboratórios antes de entrarem em produção em massa. No entanto, de acordo com cientistas belgas, todos os dispositivos testados foram certificados pelo Google, o que significa que a empresa concluiu que atendiam aos requisitos. Quando o problema veio à tona, o Google, segundo sua [informação omitida], [informação omitida].Segundo o comunicado, a empresa adicionou novos testes ao procedimento de verificação da implementação do Fast Pair.

Independentemente do verdadeiro culpado pelo incidente, os pesquisadores enfatizaram que a implementação de criptografia e o bloqueio do emparelhamento secundário por outra pessoa sem autenticação resolveriam o problema. Eles publicaram um site listando os modelos de dispositivos vulneráveis ​​e recomendaram que seus proprietários atualizem o firmware, se possível. Notavelmente, o protocolo Bluetooth em si não é vulnerável — apenas o componente Fast Pair é suscetível.