Исследователи из KU Leuven в Бельгии обнаружили существенный недостаток в работе многих Bluetooth-аксессуаров, который может позволить хакерам отслеживать пользователей или похищать их аудио.
Набор уязвимостей, получивший название WhisperPair, обнаружен в ряде популярных моделей наушников, включая Sony, JBL, Marshall, Xiaomi и Nothing. Об этом пишет PhoneArena со ссылкой на специалистов по кибербезопасности.
Как объясняют эксперты, хакеры могут использовать механизм, который позволяет смартфону мгновенно распознавать наушники и подключаться к ним. Поскольку этот протокол разработан как чрезвычайно удобный и быстрый, он не всегда требует строгой аутентификации.
Исследователи обнаружили, что злоумышленники могут незаметно соединиться с чужим устройством в пределах радиуса действия Bluetooth (примерно 15 метров). После подключения они могут воспроизводить аудио через ваши динамики, вести запись с вашего микрофона или даже отслеживать ваше местонахождение.
"Речь идет не только о шутке, которую кто-то устраивает, включая музыку через ваши наушники. Последствия для конфиденциальности из-за отслеживания или похищения микрофона реальны, даже если злоумышленнику нужно быть относительно близко. Это влияет на сотни миллионов устройств, а это значит, что есть большая вероятность, что вы или кто-то из ваших знакомых владеет уязвимой парой наушников", — отметили в издании.
По словам исследователей, причина проблемы, вероятно, кроется в Bluetooth-чипах, которые предоставляют приоритет скорости соединения над проверками безопасности. Сейчас продолжается работа над исправлением проблемы. Производители чипов уже выпустили обновленное программное обеспечение для производителей наушников. Также начинают выпускаться обновления прошивки.
Всего специалисты протестировали 19 различных устройств, которые используют уязвимый чипсет, в основном от Airoha. Как оказалось, проблема коснулась 17 моделей, в том числе от брендов:
- Sony;
- JBL;
- Marshall;
- Xiaomi;
- Ничего;
- Libratone;
- Razer;
- OnePlus;
- Realme;
- Google.
Владельцам наушников любого из вышеупомянутых брендов рекомендуется скачать их официальное приложение и проверить наличие обновлений прошивки.
Почему вы можете доверять vesti-ua.net →