أزمة الاقتران: ثغرة WhisperPair تهدد أمان سماعات الرأس

إن إحدى الميزات التي لطالما أعجبتني هي الراحة التي يوفرها "Google Fast Pair". إنها تجربة "سحرية" حقًا أن أفتح علبة سماعاتي وأرى جهاز "Xiaomi Pad 8" أو "Xiaomi 17" يتصل بسماعات الأذن الخاصة بي على الفور. ومع ذلك، فقد تم الكشف عن قنبلة أمنية ضخمة تحمل تداعيات هائلة تتعلق بهذه الميزة المريحة. الثغرة الجديدة المعروفة باسم WhisperPair يمكن أن تُستغل من قبل المهاجمين للاستيلاء على سماعات الرأس اللاسلكية الخاصة بك في أقل من 15 ثانية، مما يمكّنهم من الاستماع إلى محادثاتك الخاصة أو تتبع موقعك الجغرافي في الوقت الفعلي.

ملخص: أزمة الاقتران

• التهديد: يمكن للمهاجمين تجاوز أمان الاقتران للأجهزة المعتمدة على منطق Google Fast Pair.
• العلامات التجارية المتأثرة: تشمل العلامات التجارية الكبيرة مثل Sony، Xiaomi، JBL، وLogitech.
• المخاطر: الاستيلاء الصامت على الصوت، واستخدام الميكروفون للتجسس، وتتبع الموقع عبر Google Find Hub.
• الحل: من الضروري تحديث البرنامج الثابت يدويًا باستخدام التطبيق المقدم من الشركة المصنعة لجهازك.

كيف تعمل عملية الاستيلاء عبر WhisperPair؟

تتمثل جوهر المشكلة في الطريقة التي اختار بها بعض المصنعين تنفيذ بروتوكول Fast Pair. يجب ألا يتمكن الجهاز من تكوين اتصالات جديدة ما لم تقم بتحويله يدويًا إلى "وضع الاقتران". ومع ذلك، اكتشف الفريق أن العديد من الأجهزة الرائدة لا تلتزم بذلك. باستخدام جهاز رخيص مثل "Raspberry Pi"، يمكن للمهاجم من مسافة 14 مترًا تقليد جهاز "Seeker". في غضون ثوانٍ، سيتمكن المهاجم من إجبار الاتصال بجهاز "Xiaomi Band 9" أو سماعات الأذن الخاصة بك أثناء استخدامها. والأهم من ذلك، سيتمكن المهاجم من تشغيل الميكروفون.

هل يتم تتبع موقعك؟

واحدة من أسوأ جوانب هذه الثغرة هي "ربط الحساب السري". إذا لم تكن سماعات الرأس الخاصة بك متصلة بحساب Google—وهو سيناريو محتمل جدًا إذا كنت مستخدمًا لجهاز iPhone وتملك جهاز Sony أو JBL—يمكن للقراصنة "مطالبة" الجهاز. يمكنهم تتبع موقعك من خلال ربط سماعات الرأس بحسابهم الخاص واستخدام Google’s Find Hub (المعروف أيضًا باسم "العثور على جهازي") لتتبع موقعك. تم الإبلاغ عن حالات على Reddit حيث تلقى الأشخاص إشعارات عن "متعقب غير معروف"، معتقدين أنه خلل في النظام، بينما في الحقيقة، سمح ذلك لمتتبع بتتبع موقعهم.

ما هي الأجهزة المعرضة للخطر؟

تشمل الأجهزة الـ17 التي تم اختبارها بعض النماذج الأكثر شعبية المتاحة. على الرغم من أن Google قد أصدرت بالفعل إصلاحًا لسماعات Pixel Buds، إلا أن الشركات المصنعة الأخرى مثل Xiaomi وJBL تصدر تحديثات OTA.

ماذا بعد: كيف تحمي نفسك؟

لا يمكنك ببساطة إيقاف دعم Fast Pair على معظم الملحقات. هذه الميزة مدمجة بعمق في البرنامج الثابت. الخيار الوحيد المتاح لك هو تحديث البرنامج الثابت. افتح تطبيقك، سواء كان Sony Headphones Connect أو JBL Headphones أو Xiaomi Earbuds، للتحقق مما إذا كان هناك تحديث للبرنامج الثابت.

في الختام، تعتبر ثغرة WhisperPair تهديدًا حقيقيًا لأمان سماعات الرأس اللاسلكية. من المهم أن تكون واعيًا لهذه المخاطر وأن تتخذ الخطوات اللازمة لحماية نفسك. تأكد من تحديث أجهزتك بانتظام وكن حذرًا عند استخدام سماعات الرأس الخاصة بك في الأماكن العامة.

المصدر: الرابط الأصلي