Luka w technologii Google pozwala przejąć słuchawki i śledzić użytkowników

Technologia Google Fast Pair powstała po to, aby szybko i wygodnie łączyć akcesoria Bluetooth z urządzeniami z Androidem oraz Chrome OS. Nowe badania pokazują jednak, że te same rozwiązania, które upraszczają parowanie, mogą być też łatwe do wykorzystania w niepożądany sposób.

Zespół badaczy z KU Leuven University, działający w grupie Computer Security and Industrial Cryptography, odkrył zestaw podatności, które nazwał WhisperPair. Według ich ustaleń osoba znajdująca się w zasięgu Bluetooth może przejąć kontrolę nad słuchawkami i głośnikami korzystającymi z Fast Pair. Problem dotyczy urządzeń co najmniej dziesięciu dużych producentów, w tym Google, Sony, JBL, Jabra, Xiaomi i OnePlus.

Przejęcie urządzenia w kilkanaście sekund

W testach przeprowadzonych przez badaczy przejęcie urządzenia zajmowało mniej niż 15 sekund. Po uzyskaniu połączenia atakujący mógł odtwarzać dźwięk, wyciszać go, kontrolować poziom głośności, a w niektórych przypadkach także aktywować wbudowany mikrofon oraz podsłuchiwać rozmowy w otoczeniu.

Zespół badaczy z KU Leuven University, działający w grupie Computer Security and Industrial Cryptography, odkrył zestaw podatności, które nazwał WhisperPair. Według ich ustaleń osoba znajdująca się w zasięgu Bluetooth może przejąć kontrolę nad słuchawkami i głośnikami korzystającymi z Fast Pair.

Niektóre modele, zwłaszcza sprzęt Google i Sony, okazały się dodatkowo podatne na śledzenie lokalizacji przez sieć Google Find Hub. W takim scenariuszu możliwe było dokładne monitorowanie przemieszczania się właściciela sprzętu.

Podczas badań sprawdzono 25 urządzeń obsługujących Fast Pair od 16 producentów. Aż 17 z nich dało się wykorzystać w opisany sposób.

Publiczne identyfikatory i błędy w parowaniu

Atak opiera się na wykorzystaniu unikalnego identyfikatora, który urządzenia nadają podczas parowania. Takie identyfikatory są dostępne publicznie przez API Google, co umożliwia ich masowe zbieranie.

Zdaniem zespołu z KU Leuven problem wynika z nieprawidłowego egzekwowania zasad parowania w Fast Pair. W teorii urządzenie nie powinno przyjmować nowego połączenia, gdy jest już sparowane. W praktyce wiele modeli na to pozwala. Umożliwia to ciche nadpisanie lub skopiowanie istniejącego połączenia bez wiedzy użytkownika. Po takim ataku sprzęt pozostaje pod kontrolą napastnika aż do przywrócenia ustawień fabrycznych.

Ryzyko związane z kontem Google i Find Hub

Dodatkowe zagrożenie pojawia się w przypadku urządzeń, które nigdy nie zostały przypisane do konta Google. Jeśli słuchawki lub głośniki były używane na przykład tylko z iPhonem, atakujący może przypisać je do własnego konta Google. W efekcie urządzenie trafia na jego listę w Find Hub i pozwala na stałe śledzenie lokalizacji. Nawet jeśli ofiara dostanie powiadomienie o śledzeniu, komunikat może sugerować, że chodzi o jej własne urządzenie, co utrudnia wykrycie problemu.

Reakcja Google i producentów

Google potwierdziło ustalenia badaczy i opublikowało je razem z raportem na stronie WhisperPair.eu. Firma poinformowała, że współpracowała z producentami, wydała poprawki dla własnych urządzeń oraz zaktualizowała Find Hub, aby blokować groźne rejestracje. Badacze twierdzą jednak, że w ciągu kilku godzin byli w stanie obejść te zabezpieczenia i ponownie uruchomić mechanizm śledzenia.

Reakcje producentów były różne. JBL potwierdził otrzymanie poprawek i zapowiedział ich udostępnienie przez aplikację mobilną. Xiaomi poinformowało o pracach nad aktualizacjami firmware dla słuchawek Redmi. Logitech wprowadził poprawkę do nowych modeli głośnika Wonderboom 4, który nie ma mikrofonu i nie umożliwia nagrywania dźwięku. Jabra, Marshall i OnePlus również odniosły się do sprawy, choć część z nich zdawała się mylić te ustalenia z wcześniejszymi problemami chipsetów Bluetooth.

Aktualizacje, o których wielu użytkowników nie wie

Jednym z głównych problemów jest sposób dostarczania poprawek. Wielu użytkowników nie instaluje aplikacji towarzyszących do słuchawek ani nie aktualizuje ich oprogramowania. W efekcie podatne urządzenia mogą pozostać zagrożone przez długi czas. Badacz Seppe Wyns zwrócił uwagę, że część konsumentów nie ma świadomości istnienia aktualizacji, a bez aplikacji producenta nie dostanie o nich żadnej informacji.

Źródła problemu i certyfikacja Fast Pair

Badania wskazują, że podatności wynikają zarówno z błędów producentów, jak i z implementacji na poziomie chipsetów. W raporcie wymieniono komponenty dostarczane przez firmy takie jak Actions, Airoha, Bestechnic, MediaTek, Qualcomm i Realtek, choć żadna z nich nie skomentowała sprawy. Xiaomi przyznało później, że na jego podatność wpłynęła błędna konfiguracja po stronie dostawcy układów.

Pytania pojawiły się też wokół procesu certyfikacji Fast Pair. Wszystkie urządzenia opisane w badaniu przeszły testy wymagane przez Google, co sugeruje, że procedury nie wykryły istotnych luk bezpieczeństwa. Google zapowiedziało dodanie nowych testów, skupionych bezpośrednio na egzekwowaniu zasad bezpieczeństwa Fast Pair.

Co robić?

Badacze z KU Leuven zalecają użytkownikom instalowanie dostępnych aktualizacji oprogramowania oraz resetowanie potencjalnie zagrożonych urządzeń. Jednocześnie podkreślają, że sam Fast Pair powinien zostać zmieniony tak, aby nowe parowania były możliwe dopiero po kryptograficznym potwierdzeniu właściciela urządzenia.