MADRID 16 jan. (Portaltic/EP) - Uma falha no protocolo “Fast Pair” do Google tornou fones de ouvido, alto-falantes e outros dispositivos que se conectam por Bluetooth vulneráveis a ataques que facilitariam o acesso e o sequestro desses dispositivos.
Essa falha de segurança foi gerada após uma implementação defeituosa da função “Fast Pair”, que permite aos usuários conectar seus dispositivos por Bluetooth a outros dispositivos Android e ChromeOS de forma mais eficiente, emparelhando-se automaticamente, assim como fazem os AirPods da Apple.
Pesquisadores do grupo de Segurança Informática e Criptografia Industrial da Universidade KU Leuven, na Bélgica, descobriram que, com esse sistema, os cibercriminosos também podem se conectar a centenas de milhões de fones de ouvido e alto-falantes para controlar alto-falantes e microfones ou até mesmo rastrear a localização.
Concretamente, são 17 os modelos afetados por esta falha de segurança, entre os quais se encontram marcas como Sony, Jabra, JBL, Marshall, Xiaomi, Nada, OnePlus, Soundcore, Logitech e Google. Você pode verificar se o seu dispositivo é vulnerável através deste link.
A investigação, batizada de “WhisperPair”, revela que qualquer pessoa que estivesse dentro do alcance Bluetooth desses dispositivos (cerca de 15 metros, de acordo com seus testes) poderia se conectar secretamente a periféricos de áudio e assim sequestrá-los, mesmo que eles já estivessem conectados anteriormente. “Você está andando pela rua com fones de ouvido e ouvindo música. Em menos de 15 segundos, podemos sequestrar seu dispositivo”, explicou o pesquisador da KU Leuven Sayon Duttagupta em declarações à Wired. “O invasor agora é o dono desse dispositivo”, acrescentou o pesquisador Nikola Antonijevic, “e basicamente pode fazer o que quiser com ele”. RESPOSTA DO GOOGLE
Diante dessa falha de segurança, o Google reconheceu à Wired o trabalho do grupo de pesquisa, que alertou pela primeira vez em agosto passado. A empresa garantiu que já avisou algumas das marcas afetadas e muitas delas já implementaram atualizações de segurança. Isso também foi confirmado por marcas como Xiaomi, JBL, Logitech e OnePlus à Wired.
Em um e-mail enviado à Engadget, o Google recomendou aos usuários que revisassem seus fones de ouvido para verificar se eles têm as últimas atualizações de firmware. “Avaliamos e melhoramos constantemente a segurança do Fast Pair e do Find Hub”, esclareceu a empresa. Além disso, o Google garantiu a ambos os meios de comunicação que não encontrou nenhum ataque além dos laboratórios da equipe de pesquisa belga. No entanto, os pesquisadores responderam que o Google não poderia ver se os ataques ocorreram em outros dispositivos que não fossem os seus. O QUE FAZER SE O SEU DISPOSITIVO FOR VULNERÁVEL
O pesquisador da KU Leuven, Seppe Wyns, alertou que o sistema 'Fast Pair' não pode ser desativado, mas resta a opção de restaurar a versão de fábrica dos dispositivos. “Você pode restaurar as configurações de fábrica do seu dispositivo, e isso apagará o acesso do invasor, que terá que fazer o ataque novamente, mas o 'Fast Pair' está ativado por padrão em todos os dispositivos compatíveis”, explicou. Por sua vez, o Google disponibiliza o aplicativo 'Fast Pair Validator', que permite garantir que o acesso ao 'Fast Pair' foi implementado corretamente. No entanto, os pesquisadores apontaram que todos os dispositivos com os quais trabalharam já tinham esse aplicativo. Eles garantiram que o problema poderia ser resolvido com um reforço criptográfico dos emparelhamentos desejados pelo proprietário do dispositivo e proibindo o acesso a um “proprietário secundário” sem autenticação.
Esta notícia foi traduzida por um tradutor automático