A filléres Bluetooth-fülesedet bárki feltörheti

Gyenge védelem, könnyű támadás

Elvileg a Fast Pair-t támogató eszközöknek kizárólag akkor szabad engedélyezni új kapcsolatot, ha a felhasználó párosítási módba helyezte őket. A gyakorlatban viszont sok gyártó hibásan valósította meg a Google irányelveit, és az eszközök bármikor elfogadják a párosítási kéréseket, akár már használatban vannak, akár nem. Így a támadó, ha Bluetooth-határon belül van, egyszerűen rákapcsolódhat a fülesedre – mindössze egy mobiltelefon vagy laptop szükséges hozzá.

Teljes körű hozzáférés a támadónak

Ha egy támadó sikeresen párosítja saját eszközét a tiéddel, tulajdonképpen ugyanúgy irányíthatja, mint te magad: elindíthatja vagy megszakíthatja a lejátszást, módosíthatja a hangerőt, sőt bizonyos esetekben a mikrofont is aktiválhatja. Különösen veszélyes, hogy egyes fülesek integrálódnak a Google Eszközkereső (Find My Device) hálózatába, így aki elsőként párosít, akár saját Google-fiókjához is regisztrálhatja az eszközt, majd követheti annak mozgását.

Félkész frissítések, kifogások helyett

A Google már értesült a hibáról, és együtt dolgozik a gyártókkal a javításokon. Egyes eszközökre már elérhetők a szükséges firmware-frissítések, de a legtöbb olcsó fülhallgató vagy sosem kap frissítést, vagy csak nehezen kezelhető alkalmazásokon keresztül, amelyeket a felhasználók zöme nem nyit meg soha. Hiába változtatsz a telefonod beállításain, vagy kapcsolod ki a Fast Pair-t, ha maga a fülhallgató továbbra is vakon fogadja a kéretlen kapcsolódást.

Örök tanulság: olcsó húsnak híg a leve

A WhisperPair-csapat már tavaly bizalmasan jelentette a hibát a gyártóknak, és csak most hozta nyilvánosságra a részleteket. A történet jól mutatja, mennyire nem elég, ha egy biztonsági előírás csak papíron működik: a valóságban pedig a gyártók sietnek piacra dobni a filléres hardvert, bármiféle igazi tesztelés nélkül.

2025, adrienne, go.theregister.com alapján