Google Fast Pair предназначен для ускорения и упрощения процесса соединения устройств по Bluetooth, позволяя пользователям подключать наушники, колонки и другие гаджеты одним касанием. Однако исследователи из KU Leuven обнаружили серьезные недостатки протокола, которые могут привести к скрытому захвату устройств злоумышленниками. Уязвимость получила название WhisperPair: злоумышленник, находящийся в радиусе действия, может подключиться к устройству без ведома владельца, а в некоторых случаях — отслеживать его местоположение. Важно отметить, что эта уязвимость затрагивает не только владельцев Android-устройств, но и пользователей iPhone, поскольку Fast Pair работает независимо от операционной системы.
## Детали уязвимости и особенности протокола Fast Pair
Исследователи выявили, что Fast Pair осуществляет вещание идентификатора устройства, что ускоряет процесс соединения. Однако многие устройства игнорируют важное правило — они продолжают принимать новые запросы на подключение даже при уже установленном соединении. Это создает риск злоупотреблений: злоумышленник, находясь в Bluetooth-радиусе, может в течение 10–15 секунд бесшумно подключиться к устройству. После этого он может прерывать звонки, подавать аудио или активировать микрофон, а также получать контроль над устройством так, как будто он его владелец. Для проведения атаки не требуется специализированное оборудование — достаточно стандартного смартфона, ноутбука или недорогого гаджета типа Raspberry Pi. Согласно исследованиям, большинство протестированных устройств, среди которых Sony, JBL, Xiaomi, Nothing, OnePlus, Google и другие бренды, успешно поддаются такому взлому, несмотря на прохождение сертификации Google.
## Влияние на приватность и возможность слежки
Некоторые устройства, например, интегрированные с системой Find Hub от Google или Sony, используют данные о расположении для определения местоположения владельца. Если устройство никогда не было связано с аккаунтом Google, злоумышленник может его первым подключить, что позволяет непрерывно отслеживать перемещения пользователя. В случае получения пользователем предупреждения о слежке, оно может восприниматься как ошибка или ложное уведомление, что усложняет обнаружение угрозы. Это создает угрозу приватности, особенно для тех, кто использует устройства для конфиденциальных целей.
## Обновление прошивки и меры защиты
Еще одна проблема заключается в необходимости своевременного обновления прошивки устройств. Многие пользователи не устанавливают фирменные приложения, через которые выходят обновления, что оставляет устройства уязвимыми на длительный срок — месяцы или даже годы. Единственный способ устранить уязвимость — установить официальное обновление от производителя. Некоторые компании, включая Google, уже выпустили патчи, но для большинства устройств обновления еще недоступны. Важно проверять наличие обновлений на сайте производителя и своевременно их применять.
## Реакция Google и рекомендации по безопасности
Google заявила, что совместно с исследователями работает над устранением уязвимостей WhisperPair. В начале сентября компания начала рассылать рекомендации производителям наушников и устройств для исправления ошибок. В частности, Google обновила требования к сертификации устройств, чтобы обеспечить правильное соблюдение правил подключения и предотвращение несанкционированных соединений. Также компания внедрила серверные исправления, которые блокируют автоматическую регистрацию устройств в Find Hub, если они не были предварительно связаны с Android-устройством. Представитель Google отметил: «Мы ценим сотрудничество с исследователями и постоянно совершенствуем безопасность Fast Pair и Find Hub». Однако эксперты подчеркивают, что распространение патчей и контроль за реальными атаками требуют дальнейших усилий и прозрачности.
## Что делать пользователям для защиты
Пользователям рекомендуется проверять наличие обновлений прошивки через официальные приложения производителей устройств. Следует избегать подключения новых Bluetooth-устройств в публичных местах, таких как аэропорты или кафе. Обнаружение необычных звуков, перерывов в воспроизведении или внезапных отключений может указывать на попытки злоумышленников. В таком случае рекомендуется сбросить настройки гаджета и установить актуальное обновление. Также важно отключать Bluetooth, когда устройство не используется, и перед продажей или передачей — выполнять сброс до заводских настроек. В случае получения сообщений о слежке или активности Find Hub рекомендуется проверять свои устройства и настройки конфиденциальности.
## Итог и перспективы
WhisperPair демонстрирует, как даже небольшие упрощения в протоколах соединения могут привести к серьезным проблемам с приватностью и безопасностью. Производителям необходимо учитывать не только удобство, но и надежность защиты устройств. В ближайшее время ожидается дальнейшее усиление контроля за сертификацией и распространением патчей, что должно снизить риски эксплуатации уязвимостей. Пока пользователи должны уделять особое внимание обновлениям и мерам предосторожности при использовании Bluetooth-устройств.
Дарья Тимошенко
Автор. Технологический обозреватель. Пишет о цифровых трендах, инновациях и гаджетах. Разбирает сложное просто, следит за будущим уже сегодня. Все посты