ztevenreal
- Los atacantes pueden piratear los micrófonos de sus parlantes y rastrear su ubicación
- La vulnerabilidad se encuentra en la función Fast Pair de Google
- Los investigadores dicen que la equivocación podría afectar a millones de dispositivos
La función Fast Pair de Google está diseñada para permitirle conectar sus auriculares y parlantes a su dispositivo Android o ChromeOS con solo un toque. Sin incautación, ahora parece que el precio de esa comodidad es una vulnerabilidad de seguridad que podría dejar millones de dispositivos expuestos a piratas informáticos y espías.
Ese sorprendente descubrimiento fue realizado por investigadores de seguridad del montón de Criptografía Industrial y Seguridad Informática de la Universidad KU Leuven de Bélgica (a través de cableado), quienes denominan la colección de vulnerabilidades par de susurros.
Allí, una investigación descubrió que los piratas informáticos podían conseguir a 17 modelos principales de auriculares y altavoces con la misma facilidad que los usuarios habituales. Los dispositivos son fabricados por empresas de toda la industria, incluidas Google, Jabra, JBL, Logitech, Marshall, Nothing, OnePlus, Sony, Soundcore y Xiaomi.
En la destreza, un intruso podría potencialmente obtener control sobre el micrófono y los altavoces de su dispositivo o incluso rastrear su ubicación. Eso les permitiría reproducir su propio audio en sus auriculares o encender silenciosamente sus micrófonos y escuchar sus conversaciones.
Si el dispositivo objetivo es compatible con el sistema de seguimiento de ubicación Find Hub de Google, podrían seguirte en el mundo existente. Y por más aterrador que parezca, ni siquiera es la primera vez que piratas informáticos peligrosos irrumpen en Find Hub.
Peor aún, esto se puede hacer incluso si el dispositivo de la víctima ejecuta iOS y el objetivo nunca antaño ha utilizado un producto de Google. Si su dispositivo nunca ha estado conectado a una cuenta de Google (lo que podría ser el caso si es agraciado de iPhone), un pirata informático no sólo podría espiarlo sino incluso vincularlo a su propia cuenta de Google.
Esto se debe a que el sistema de Google identifica como propietario el primer dispositivo Android que se conecta a los parlantes o auriculares objetivo, una afición que permitiría a un hacker rastrear su ubicación en su propia aplicación Find Hub.
¿Cómo funciona?
Para hacer esto, todo lo que un atacante necesita es estar interiormente del resonancia de Bluetooth y tener a mano el ID del maniquí del dispositivo objetivo. Un pirata informático podría obtener este ID de maniquí si posee el mismo maniquí de dispositivo que el objetivo o consultando una API de Google acondicionado públicamente.
Una forma en que funciona WhisperPair es a través de una equivocación en la configuración multidispositivo de Fast Pair. Google dice que un dispositivo emparejado no debería poder emparejarse con un segundo teléfono o computadora. Sin incautación, los investigadores pudieron sortear esta límite muy fácilmente.
Oportuno a que no hay forma de desactivar Fast Pair en un dispositivo Android, no puedes simplemente desactivarlo para evitar la vulnerabilidad. Muchas de las empresas afectadas han implementado parches en un intento de remediar el problema, pero los investigadores de seguridad señalan que para obtener estas correcciones es necesario descargar la aplicación del fabricante y obtener un parche desde allí, poco que muchos usuarios de parlantes y auriculares no saben que deben hacer.
Si posee un altavoz o un par de auriculares de una de las empresas afectadas, es importante descargar su aplicación e instalar la alternativa lo antaño posible. A Sitio web de WhisperPair se ha creado que le permite despabilarse en una cinta de dispositivos vulnerables para ver si es probable que se vea afectado, así que asegúrese de verificarlo.
Los investigadores han sugerido que Fast Pair debería imponer criptográficamente el emparejamiento de dispositivos deseado y no debería permitir que un segundo agraciado se empareje sin autenticación. Pero hasta que eso suceda, renovar sus dispositivos es todo lo que puede hacer.
Siga TechRadar en Google News y agréganos como fuente preferida para acoger parte, reseñas y opiniones de nuestros expertos en sus feeds. ¡Asegúrate de hacer clic en el yema Seguir!
Y por supuesto incluso puedes Siga TechRadar en TikTok para parte, reseñas, unboxings en forma de video y reciba actualizaciones periódicas de nuestra parte en WhatsApp incluso.
