- Saldırganlar konuşmacınızın mikrofonlarını hackleyebilir ve konumunuzu takip edebilir
- Güvenlik açığı Google’ın Hızlı Eşleştirme özelliğinde bulunuyor
- Araştırmacılar kusurun milyonlarca cihazı etkileyebileceğini söylüyor
Google‘S Hızlı Eşleştirme özelliği kulaklıklarınızı ve hoparlörlerinizi bilgisayarınıza bağlamanıza izin vermek içindir. Android veya tek bir dokunuşla ChromeOS cihazı. Ancak şimdi bu kolaylığın bedelinin, milyonlarca cihazı bilgisayar korsanlarına ve kulak misafiri olanlara açık bırakabilecek bir güvenlik açığı olduğu görülüyor.
Bu şaşırtıcı keşif, Belçika’nın KU Leuven Üniversitesi Bilgisayar Güvenliği ve Endüstriyel Kriptografi grubundaki güvenlik araştırmacıları tarafından yapıldı (via kablolu), güvenlik açıklarının koleksiyonunu seslendiren Fısıltı Çifti.
Orada yapılan bir araştırma, bilgisayar korsanlarının 17 ana kulaklık ve hoparlör modeline normal kullanıcılar kadar kolay erişebildiğini ortaya çıkardı. Cihazlar Google, Jabra, JBL gibi sektördeki şirketler tarafından üretiliyor. Logitech’inMarshall, Hiçbir şey, OnePlus, sonySoundcore ve Xiaomi.
Uygulamada, davetsiz bir misafir potansiyel olarak cihazınızın mikrofonu ve hoparlörleri üzerinde güç kazanabilir ve hatta konumunuzu izleyebilir. Bu, onların kulaklığınızda kendi seslerini çalmalarına veya mikrofonlarınızı sessizce açıp konuşmalarınızı gizlice dinlemelerine olanak tanır.
Hedef cihaz Google’ınkiyle uyumluysa Merkezi Bul konum takip sistemi sayesinde sizi gerçek dünyada takip edebilirler. Kulağa ne kadar korkutucu gelse de, bu ilk kez bile değil. Find Hub’a izinsiz giriş yapıldı tehlikeli hackerlar tarafından.
Daha da kötüsü, kurbanın cihazı iOS çalıştırıyorsa ve hedef daha önce hiç Google ürünü kullanmamışsa bile bu yapılabilir. Cihazınız hiçbir zaman bir Google hesabına bağlanmamışsa (iPhone kullanıcısıysanız durum böyle olabilir), bir bilgisayar korsanı yalnızca onu gözetlemekle kalmaz, aynı zamanda onu kendi Google hesabıyla da eşleştirebilir.
Bunun nedeni, Google’ın sisteminin, hedef hoparlörlere veya kulaklıklara bağlanan ilk Android cihazını cihaz sahibi olarak tanımlamasıdır; bu, bir bilgisayar korsanının konumunuzu kendi Find Hub uygulamasında izlemesine olanak tanıyan bir zayıflıktır.
Nasıl çalışır?
Bunu yapabilmek için bir saldırganın tek ihtiyacı Bluetooth menzili içinde olması ve hedef cihazın model kimliğinin hazır olmasıdır. Bir bilgisayar korsanı, hedefle aynı cihaz modeline sahipse veya herkese açık bir Google API’sini sorgulayarak bu model kimliğini elde edebilir.
WhisperPair’in çalışmasının bir yolu Fast Pair’in çoklu cihaz kurulumundaki bir kusurdur. Google, eşleştirilmiş bir cihazın ikinci bir telefon veya bilgisayarla eşleştirilememesi gerektiğini söylüyor. Ancak araştırmacılar bu sınırlamayı çok kolay bir şekilde aşmayı başardılar.
Bir Android cihazda Hızlı Eşleştirmeyi devre dışı bırakmanın bir yolu olmadığından, güvenlik açığından kaçınmak için onu basitçe kapatamazsınız. Etkilenen şirketlerin birçoğu sorunu çözmek amacıyla yamalar yayınladı, ancak güvenlik araştırmacıları bu düzeltmeleri almanın bir üreticinin uygulamasını indirip oradan bir yama almayı gerektirdiğine dikkat çekiyor; bu, birçok hoparlör ve kulaklık kullanıcısının bunu yapmaları gerektiğinin farkında olmadığı bir şey.
Etkilenen firmalardan birinden bir hoparlör veya kulaklığınız varsa, uygulamalarını indirip mümkün olan en kısa sürede düzeltmeyi yüklemeniz önemlidir. A WhisperPair web sitesi Etkilenme olasılığınızın olup olmadığını görmek için savunmasız cihazların listesini aramanıza olanak tanıyan bir uygulama oluşturuldu; bu nedenle bunu kontrol ettiğinizden emin olun.
Araştırmacılar, Hızlı Eşleştirme’nin, istediğiniz cihaz eşleştirmesini kriptografik olarak zorlaması gerektiğini ve ikinci bir kullanıcının kimlik doğrulaması olmadan eşleşmesine izin vermemesini önerdi. Ancak bu gerçekleşene kadar yapabileceğiniz tek şey cihazlarınızı güncellemektir.
TechRadar’ı Google Haberler’de takip edin Ve bizi tercih edilen kaynak olarak ekleyin Akışlarınızda uzman haberlerimizi, incelemelerimizi ve görüşlerimizi almak için. Takip Et butonuna tıklamayı unutmayın!
Ve tabii ki siz de yapabilirsiniz TechRadar’ı TikTok’ta takip edin haberler, incelemeler ve video biçimindeki kutu açma işlemleri için bizden düzenli olarak güncellemeler alın WhatsApp fazla.