Ricercatori che lavorano presso l’Università KU Leuven in Belgio stanno avvertendo persone che utilizzano prodotti audio Bluetooth che i loro dispositivi potrebbero essere a rischio a causa delle vulnerabilità della tecnologia Quick Pair di Google, una funzionalità che rende più semplice e veloce la connessione dei dispositivi Bluetooth.
Google afferma di aver risolto i problemi che potrebbero consentire agli hacker di dirottare dispositivi audio e tracciare la loro posizione. Ma i ricercatori affermano che le vulnerabilità, a cui si riferisce collettivamente come WhisperPair, colpiscono ancora prodotti di produttori di dispositivi tra cui Sony, Harman e la stessa Google. Nei loro check, i ricercatori hanno scoperto che questi prodotti potevano essere hackerati fino a circa 46 piedi di distanza.
Un rappresentante di Google ha detto a CNET di aver aggiornato il software program per alcuni dei suoi prodotti audio, incluso il suo Pixel Buds Professionale che alcune delle vulnerabilità derivavano dal fatto che altre società non seguivano correttamente le specifiche Quick Pair. Google ha dichiarato di aver informato le aziende a riguardo a settembre.
Non perdere nessuno dei nostri contenuti tecnici imparziali e le recensioni di laboratorio. Aggiungi CNET come fonte Google preferita.
“Apprezziamo la collaborazione con i ricercatori sulla sicurezza attraverso il nostro programma Vulnerability Rewards, che aiuta a proteggere i nostri utenti. Abbiamo lavorato con questi ricercatori per risolvere queste vulnerabilità e non abbiamo visto show di alcuno sfruttamento al di fuori dell’ambiente di laboratorio di questo rapporto”, ha affermato Google in una dichiarazione fornita a CNET. “Come migliore pratica di sicurezza, consigliamo agli utenti di controllare le cuffie per gli ultimi aggiornamenti del firmware. Valutiamo e miglioriamo costantemente la sicurezza di Quick Pair e Discover Hub.”
In risposta a preoccupazioni specifiche sul tracciamento dei dispositivi, Google ha aggiunto: “Abbiamo implementato una soluzione per impedire il provisioning della rete Discover Hub in questo state of affairs, che risolve completamente il potenziale problema di tracciamento della posizione su tutti i dispositivi”.
Google ha rilasciato due aggiornamenti di sicurezza questo mese, uno per Indossa il sistema operativo E uno per i dispositivi Google Pixel. Ciascuno contiene informazioni sulle patch di sicurezza dell’azienda.
Il gruppo di ricerca WhisperPair ha affermato che sta lavorando a un documento accademico che dettaglia i suoi risultati. Sul suo sito internet, il gruppo di ricercatori ha affermato: “I nostri risultati mostrano come un piccolo ‘add-on’ di usabilità possa introdurre rischi su larga scala per la sicurezza e la privateness di centinaia di milioni di utenti.”
Il gruppo di ricerca ha rilasciato a video di YouTube discutendo dei problemi con Quick Pair, una tecnologia Google introdotta nel 2017 che connette i dispositivi Bluetooth con un solo tocco su Android e Chrome OS.
Il gruppo ha affermato di aver collaborato con Google dopo aver riportato i risultati e di aver ricevuto una taglia di 15.000 dollari. I ricercatori hanno affermato di aver concordato una finestra di divulgazione di 150 giorni in cui Google rilascerà patch di sicurezza. Tuttavia, il sito Internet sottolinea che gli utenti di dispositivi Bluetooth come gli auricolari potrebbero non essere a conoscenza degli aggiornamenti di sicurezza che potrebbero proteggerli.
Il sito Internet embrace una pagina in cui gli utenti possono cercare quale audio i prodotti sono vulnerabilicon i dettagli su come aggiornarli. Google non dispone di informazioni dettagliate su queste vulnerabilità sul suo Problemi noti di associazione rapida pagina.
