Google offre a Applicazione di convalida tramite il Play Retailer che i fornitori devono eseguire come parte della certificazione dei loro prodotti per l’utilizzo di Quick Pair. Secondo la sua descrizione, l’app “convalida che Quick Pair è stato implementato correttamente su un dispositivo Bluetooth”, producendo report sul fatto che un prodotto abbia superato o meno una valutazione della sua implementazione Quick Pair. I ricercatori sottolineano che tutti i dispositivi testati nel loro lavoro avevano l’implementazione Quick Pair certificata da Google. Ciò significa, presumibilmente, che l’app di Google li ha classificati come conformi ai suoi requisiti, anche se le loro implementazioni presentavano difetti pericolosi. Oltre a ciò, i dispositivi certificati Quick Move vengono poi sottoposti a check nei laboratori selezionati da Google che esaminano i rapporti di superamento e quindi valutano direttamente i campioni di dispositivi fisici prima della produzione su larga scala per confermare che siano in linea con lo commonplace Quick Pair.
Google afferma che le specifiche Quick Pair forniscono requisiti chiari e che l’app Validator è stata progettata principalmente come strumento di supporto per i produttori per testare le funzionalità principali. In seguito alla divulgazione dei ricercatori della KU Leuven, la società afferma di aver aggiunto nuovi check di implementazione specificamente orientati ai requisiti di Quick Pair.
In definitiva, dicono i ricercatori, è difficile determinare se i problemi di implementazione che hanno portato alle vulnerabilità WhisperPair siano dovuti a errori da parte dei produttori di dispositivi o di chip.
WIRED ha contattato tutti i produttori di chip che producono i chipset utilizzati dagli accessori audio vulnerabili (Actions, Airoha, Bestechnic, MediaTek, Qualcomm e Realtek), ma nessuno ha risposto. Nei suoi commenti a WIRED, Xiaomi ha osservato: “Abbiamo confermato internamente che il problema a cui fai riferimento è stato causato da una configurazione non commonplace da parte dei fornitori di chip in relazione al protocollo Google Quick Pair.” Airoha è il produttore del chip utilizzato nei Redmi Buds 5 Professional che i ricercatori hanno identificato come vulnerabile.
Indipendentemente da chi sia responsabile delle vulnerabilità WhisperPair, i ricercatori sottolineano che una modifica concettualmente semplice alle specifiche Quick Pair risolverebbe il problema più fondamentale dietro WhisperPair: Quick Pair dovrebbe imporre crittograficamente gli accoppiamenti previsti dal proprietario dell’accessorio e non consentire a un “proprietario” secondario e canaglia di accoppiarsi senza autenticazione.
Per ora, Google e molti produttori di dispositivi hanno aggiornamenti software program pronti per correggere le vulnerabilità specifiche. Ma è probabile che le installazioni di tali patch siano incoerenti, come quasi sempre accade nel campo della sicurezza dell’web delle cose. I ricercatori esortano tutti gli utenti advert aggiornare i propri accessori vulnerabili e indirizzano gli utenti a un sito Internet da loro creato che fornisce un file elenco ricercabile di dispositivi influenzato da WhisperPair. Del resto, dicono che tutti dovrebbero usare WhisperPair come promemoria più generale per aggiornare tutti i propri dispositivi Web delle cose.
Il messaggio più ampio della loro ricerca, dicono, è che i produttori di dispositivi devono dare priorità alla sicurezza quando aggiungono funzionalità facili da usare. Dopotutto, il protocollo Bluetooth in sé non conteneva nessuna delle vulnerabilità che hanno scoperto, ma solo il protocollo one-tap che Google ha costruito su di esso per rendere l’accoppiamento più conveniente.
“Sì, vogliamo semplificarci la vita e far funzionare i nostri dispositivi in modo più fluido”, afferma Antonijević. “Convenienza non significa immediatamente meno sicurezza. Ma nel perseguimento della comodità non dovremmo trascurare la sicurezza.”
