Сегодня 03 июля 2026
18+
MWC 2018 2018 Computex IFA 2018
реклама
Теги → fast pair

Миллионы наушников Sony, JBL, Xiaomi и других брендов оказались под угрозой взлома — в Google Fast Pair нашли уязвимость

Эксперты в области кибербезопасности из Лёвенского университета (Бельгия) обнаружили уязвимости у аудиоустройств с поддержкой протокола Google Fast Pair на основе Bluetooth. Гипотетический злоумышленник может использовать их для прослушивания и слежки за владельцем.

 Источник изображений: Daniel Romero / unsplash.com

Источник изображений: Daniel Romero / unsplash.com

Google разработала протокол Fast Pair, чтобы ускорить процесс подключения беспроводных наушников, гарнитур и колонок к устройствам под управлением Android и ChromeOS. Как оказалось, с таким же комфортом к уязвимой аудиопериферии могут подключаться и сторонние лица: управлять ей, а в некоторых случаях и следить за местоположением владельца. Под угрозой даже владельцы Apple iPhone, которые никогда не пользовались продуктами Google.

Бельгийские учёные обнаружили уязвимости в 17 моделях аудиопериферии с поддержкой Fast Pair производства 10 брендов: Sony, Jabra, JBL, Marshall, Xiaomi, Nothing, OnePlus, Soundcore, Logitech и самой Google. Для развёртывания атаки, получившей название WhisperPair, достаточно находиться в зоне действия Bluetooth этих устройств — около 15 метров, а атака занимает менее 15 секунд. В зависимости от устройства, гипотетический хакер может перехватывать, прерывать поток аудио или разговор по телефону, воспроизводить собственный звук на любой громкости, а также незаметно перехватывать контроль над микрофонами, чтобы прослушивать происходящее вокруг. Некоторые устройства от Google и Sony оснащаются функцией отслеживания геолокации Google Find Hub, а значит, их местоположение можно отслеживать с высокой точностью.

Авторы исследования уведомили о своём открытии Google ещё в августе минувшего года — компания предала инцидент огласке и отчиталась о мерах по устранению проблемы. Сложность в том, что многие владельцы таких устройств вообще не задумываются об обновлении их прошивки и не устанавливают приложений от производителя, то есть даже не знают, что такие обновления выходят. Это значит, что атака WhisperPair может так и остаться актуальной для этих устройств на несколько месяцев, если не лет. Google, со своей стороны, не только выпустила обновления прошивки для аудиоаксессуаров, но и изменила схему работы сервиса Android Find Hub, чтобы лишить злоумышленников возможности следить за людьми. Впрочем, бельгийские исследователи уже нашли способ обойти это обновление.

Для развёртывания атаки злоумышленнику достаточно находиться в зоне действия Bluetooth уязвимого устройства и располагать идентификатором Model ID, единым для каждой модели — последний, например, можно запросить через общедоступный API Google. В ходе экспериментов исследователи пытались выполнить подключение к 25 уже сопряжённым через Fast Pair устройствам от 16 разных производителей с помощью одноплатного компьютера Raspberry Pi 4 на расстоянии около 14 метров — уязвимыми оказалось большинство устройств, а взлом занимал от 10 до 15 секунд. Если устройства ранее не привязывались к учётной записи Google, то при атаке WhisperPair потенциальный злоумышленник мог подключить их к своему аккаунту, чтобы следить за жертвой через сервис Google Find Hub. Жертва может ничего не заподозрить, если получит предупреждение, что её собственные наушники за ней следят, списав это на сбой. Отключить функцию Fast Pair невозможно, даже если никогда ей не пользуешься, а сброс настроек до заводских просто заставит злоумышленника повторить операцию.

Уязвимость перед атакой WhisperPair могла возникнуть из-за ошибок в реализации технического стандарта Fast Pair производителями как готовых устройств, так и чипов, которые лежат в их основе. У Google есть приложение-валидатор, которое осуществляет проверку реализации Fast Pair на устройстве; кроме того, компания тестирует совместимые с Fast Pair устройства в своих лабораториях, прежде чем эти устройства поступят в серийное производство. Но, по утверждениям бельгийских учёных, все проверенные ими гаджеты имели сертификацию от Google, то есть компания заключила, что они соответствуют требованиям. Когда стало известно о проблеме, Google, по её утверждению, добавила новые тесты к процедуре проверки реализации Fast Pair.

Независимо от истинного виновника инцидента, исследователи подчеркнули, что проблему решили бы внедрение средств шифрования и блокировка вторичного сопряжения другого лица без аутентификации. Они опубликовали сайт, на котором перечислили уязвимые модели устройств — и призвали их владельцев по возможности обновить прошивки Примечательно, что сам протокол Bluetooth уязвимостей не содержит — ошибкам подвержена только надстройка Fast Pair.


window-new
Soft
Hard
Тренды 🔥
Сливший iOS 26 до анонса блогер свалил вину на своего сообщника 32 мин.
«Время — это конструкт»: научно-фантастический триллер Ontos от создателей Amnesia и Soma перенесли на 2027 год 44 мин.
Citrix анонсировала XenServer 9 — альтернативу решениям VMware 46 мин.
Американские правозащитники объявили соцсеть X серьёзной угрозой для конфиденциальности американцев 57 мин.
Relic анонсировала «захватывающую» роглайт-стратегию Company of Heroes 3: Final Stand — трейлер, дата выхода и подробности геймплея 2 ч.
Вопрос передачи доли в Anthropic властям США пока не обсуждался 7 ч.
Microsoft разрабатывала ИИ ОС, отличную от Windows — с глубокой интеграцией Copilot и агентов 12 ч.
Epic Games Store устроил раздачу классической игры I Have No Mouth, and I Must Scream о последних людях на Земле, которых пытает безумный суперкомпьютер 15 ч.
Авторитетный инсайдер опроверг закрытие Obsidian Entertainment и работу студии над новой Fallout 16 ч.
Правительство США снова взломали: хакеры проникли в федеральную платформу для обмена разведданными 16 ч.
Самым популярным смартфоном в российской рознице в этом году стал iPhone 17 5 мин.
США разрешат сверхзвуковым авиалайнерам летать над городами, но при одном условии 30 мин.
Возвращение к DDR4 идёт полным ходом: Intel возобновила производство процессоров Raptor Lake 53 мин.
Учёные вдохновились пустельгой и разработают дрон, противостоящий порывам ветра 57 мин.
2 июля начали принимать работы для участия в фотоконкурсе «Снято на Camon» компании Tecno 2 ч.
Квартальные продажи Ethernet-коммутаторов взлетели на 40 %, а NVIDIA выбилась в лидеры в ЦОД-сегменте 2 ч.
Илон Маск признался, что объёмы выпуска роботов Tesla Optimus на первых порах будут скромными 4 ч.
Kioxia начала поставлять образцы передовой 332-слойной памяти 3D NAND десятого поколения 5 ч.
Новая статья: Снято в Голливуде? Почему Стэнли Кубрик физически не смог бы подделать лунную походку 10 ч.
В Сингапуре обвинили четыре фирмы в контрабанде подсанкционных чипов NVIDIA в Китай 10 ч.