Ahora sería un buen momento para actualizar todos sus dispositivos de audio Bluetooth. El jueves, cableado informó una falla de seguridad en 17 modelos de auriculares y parlantes que podría permitir a los piratas informáticos acceder a sus dispositivos, incluidos sus micrófonos. La vulnerabilidad se debe a una implementación defectuosa del protocolo One-Tap (Fast Pair) de Google.
Los investigadores de seguridad del Grupo Belga de Criptografía Industrial y Seguridad Informática de la Universidad KU Leuven que descubrieron la vulnerabilidad la denominaron WhisperPair. Dicen que un hacker dentro del alcance de Bluetooth sólo necesitaría el número de modelo del dispositivo (fácilmente disponible) del accesorio y unos segundos.
“Caminas por la calle con los auriculares puestos y escuchas música. En menos de 15 segundos podemos secuestrar tu dispositivo”, dijo Sayon Duttagupta, investigador de KU Leuven. cableado. “Eso significa que puedo encender el micrófono y escuchar los sonidos circundantes. Puedo transmitir audio. Puedo rastrear tu ubicación”. Los investigadores notificaron a Google sobre WhisperPair en agosto y la compañía ha estado trabajando con ellos desde entonces.
Fast Pair está destinado a permitir nuevas conexiones solo mientras el dispositivo de audio está en modo de emparejamiento. (Una implementación adecuada habría evitado este error). Sin embargo, un portavoz de Google le dijo a Engadget que la vulnerabilidad se debió a una implementación incorrecta de Fast Pair por parte de algunos de sus socios de hardware. Esto podría permitir que el dispositivo de un hacker se empareje con sus auriculares o parlantes después de que ya esté emparejado con su dispositivo.
“Valoramos la colaboración con investigadores de seguridad a través de nuestro programa Vulnerability Rewards, que ayuda a mantener seguros a nuestros usuarios”, escribió un portavoz de Google en un comunicado enviado a Engadget. “Trabajamos con estos investigadores para abordar estas vulnerabilidades y no hemos visto evidencia de explotación fuera del entorno de laboratorio de este informe. Como medida de seguridad de mejores prácticas, recomendamos a los usuarios verificar sus auriculares para obtener las últimas actualizaciones de firmware. Estamos evaluando y mejorando continuamente la seguridad de Fast Pair y Find Hub”.
Los investigadores crearon el siguiente vídeo para demostrar cómo funciona el error.
En un correo electrónico a Engadget, Google dijo que los pasos necesarios para acceder al micrófono o al audio del dispositivo son complejos e implican múltiples pasos. Además, los atacantes tendrían que permanecer dentro del alcance de Bluetooth. La compañía agregó que proporcionó correcciones recomendadas a sus socios OEM en septiembre. Google también ha actualizado su herramienta de certificación de validadores y sus requisitos de certificación.
Los investigadores afirman que, en algunos casos, el riesgo se aplica incluso a quienes no utilizan teléfonos Android. Por ejemplo, si el accesorio de audio nunca se ha vinculado con una cuenta de Google, un pirata informático podría utilizar WhisperPair no sólo para vincular el dispositivo de audio, sino también para vincularlo a su propia cuenta de Google. Luego podrías usar la herramienta Find Hub de Google para rastrear la ubicación del dispositivo (y por lo tanto la tuya).
Google dijo que ha implementado una solución en su red Find Hub para abordar este escenario particular. Sin embargo, dijeron los investigadores cableado que encontraron una solución a las pocas horas de implementar el parche.
Los 17 dispositivos afectados son fabricados por 10 empresas diferentes, todas las cuales han recibido la certificación Google Fast Pair. Estos incluyen Sony, Jabra, JBL, Marshall, Xiaomi, Nothing, OnePlus, Soundcore, Logitech y Google. (Google dice que los Pixel Buds afectados ya están parcheados y protegidos). Los investigadores han lanzado una herramienta de búsqueda para ayudarlo a ver si sus accesorios de audio son vulnerables.
En un comunicado enviado a Engadget, OnePlus dijo que estaba investigando el problema y que “tomaría las medidas apropiadas para proteger la seguridad y privacidad de nuestros usuarios”. También nos comunicamos con los otros fabricantes de accesorios y actualizaremos esta historia si escuchamos algo.
Los investigadores recomiendan actualizar sus dispositivos de audio con regularidad. Sin embargo, una de sus preocupaciones es que muchas personas nunca instalan la aplicación de terceros (necesaria para las actualizaciones), lo que deja sus dispositivos vulnerables.
El informe completo de cableado es mucho más detallado y vale la pena leerlo.
About The Author
