ثغرة في 17 جهازًا صوتيًا معتمدًا على Google Fast Pair تهدد الخصوصية
كشفت دراسة حديثة عن وجود ثغرة أمنية في 17 جهازًا صوتيًا من علامات تجارية عالمية، معتمدة على بروتوكول Google Fast Pair للاتصال السريع عبر البلوتوث، قد تسمح للقراصنة بالوصول إلى الميكروفون وتشغيله للتنصت على المحيط.
هذه الثغرة، التي أطلق عليها الباحثون اسم WhisperPair، أثارت قلق خبراء الأمن الرقمي حول العالم، خصوصًا مع الاعتماد المتزايد على الأجهزة الصوتية اللاسلكية في الحياة اليومية.
وفقًا للباحثين في جامعة KU Leuven البلجيكية، يكفي أن يكون المخترق ضمن نطاق البلوتوث للجهاز وأن يعرف رقم طراز الجهاز للحصول على إمكانية التحكم فيه خلال ثوانٍ.
وأوضح الباحث Sayon Duttagupta أن العملية يمكن أن تحدث أثناء استخدام الجهاز بشكل طبيعي، مثل الاستماع إلى الموسيقى أثناء التنقل، حيث يمكن للمهاجم تشغيل الميكروفون، حقن الصوت، وتتبع الموقع، كل ذلك في أقل من 15 ثانية.
أشارت الجامعة إلى أن الثغرة نشأت نتيجة تنفيذ غير صحيح لبروتوكول Fast Pair من قبل بعض شركاء Google المصنّعين للأجهزة، وهو ما أتاح للجهاز التابع للمهاجم الاتصال بالجهاز الصوتي بعد إقرانه مسبقًا مع هاتف المستخدم.
وبحسب Google، فإن الشركة عملت مع الباحثين منذ أغسطس الماضي لتصحيح الثغرة، وقدمت توصيات للشركاء لإصدار التحديثات الأمنية اللازمة.
وتشمل الأجهزة المتأثرة علامات تجارية معروفة مثل Sony، Jabra، JBL، Marshall، Xiaomi، Nothing، OnePlus، Soundcore، Logitech، وGoogle Pixel Buds.
وأكدت Google أن أجهزة Pixel Buds المتأثرة تم تحديثها بالفعل، بينما تقوم الشركات الأخرى بإصدار التصحيحات الأمنية وتحديثات البرامج الثابتة لحماية المستخدمين.
وحسب Google، فإن خطوات استغلال الثغرة معقدة وتتطلب المرور بعدة مراحل، بالإضافة إلى ضرورة بقاء المخترق ضمن نطاق البلوتوث للجهاز المستهدف.
كما أوضحت الشركة أن تحديث أجهزة الصوت بانتظام هو أفضل ممارسة لضمان الأمن الرقمي، مؤكدين أنه لا توجد دلائل على استغلال الثغرة خارج بيئة الاختبار.
وفي حالات معينة، يمكن أن تتأثر الأجهزة حتى لو لم يتم ربطها بحساب Google، حيث يستطيع المخترق استخدام WhisperPair لربط الجهاز بحسابه الخاص، ما قد يمكّنه من تتبع موقع الجهاز عبر أدوات مثل Find Hub.
وأكدت Google أنها أصدرت تحديثات لشبكة Find Hub لمعالجة هذه السيناريوهات، لكن الباحثين لاحظوا وجود طرق بديلة لاختبارها بعد التحديث.
توصي جامعة KU Leuven جميع المستخدمين بالتحقق من تحديثات أجهزتهم الصوتية وتثبيت آخر نسخ البرامج الثابتة المتاحة، مع مراعاة أن العديد من المستخدمين لا يقومون بتثبيت تطبيقات المصنعين، وهو ما يترك الأجهزة عرضة للثغرات.
أصدرت بعض الشركات المتأثرة بيانات رسمية حول معالجة المشكلة، حيث قالت Marshall إنها أصدرت التحديثات اللازمة منذ نوفمبر، كما تعمل مع Google لضمان تقليل المخاطر في المستقبل.
وذكرت OnePlus أنها تحقق في الأمر وستتخذ الإجراءات المناسبة لحماية خصوصية المستخدمين.
تسلط هذه الحادثة الضوء على أهمية مراجعة التحديثات الأمنية للأجهزة الصوتية، وضرورة اعتماد أفضل الممارسات في تصميم وتنفيذ بروتوكولات الاتصال اللاسلكي.
مع الانتشار الواسع للأجهزة الصوتية الذكية، يبقى وعي المستخدمين والتزام الشركات المصنعة بالتحديثات الأمنية عاملين أساسيين للحفاظ على الخصوصية ومنع استغلال الثغرات.