كشف باحثون في الأمن السيبراني من جامعة KU Leuven. عن ثغرة أمنية خطيرة أُطلق عليها اسم WhisperPair. تستهدف مئات الملايين من السماعات اللاسلكية، ومكبرات الصوت التي تدعم بروتوكول Google Fast Pair.
تُمكن هذه الثغرة المهاجمين الموجودين ضمن نطاق البلوتوث. من الاستيلاء على الأجهزة بصمت، حتى أثناء استخدامها من قِبل مالكها الأصلي، دون أي تنبيه أو إشعار.
خلل في التطبيق لا في البروتوكول
بحسب موقع The Register. لا يعود سبب المشكلة إلى بروتوكول البلوتوث نفسه. وإنما إلى سوء تنفيذ الشركات المصنعة لمواصفات Google Fast Pair.
تفشل العديد من الأجهزة في فرض تفعيل “وضع الاقتران” اليدوي. ما يجعلها مفتوحة دائمًا لقبول طلبات اتصال جديدة، وهو ما يشكّل ثغرة خطيرة يمكن استغلالها بسهولة.
سيناريوهات هجوم مقلقة
بعد نجاح المهاجم في الاقتران بالجهاز، يصبح بإمكانه:
بث أصوات غير مرغوب فيها داخل السماعة
التحكم في مستوى الصوت
تفعيل الميكروفون في بعض الأجهزة
التجسس الصوتي على المستخدم دون علمه
وتُعد هذه الإمكانيات انتهاكًا مباشرًا للخصوصية الشخصية.
تحويل السماعات إلى أداة تتبع
الأخطر في ثغرة WhisperPair. هو إمكانية تسجيل الجهاز في حساب “Find My Device”. الخاص بالمهاجم قبل أن يقوم المالك الأصلي بذلك.
يسمح هذا الأمر بتتبع موقع الضحية الجغرافي بشكل مستمر عبر شبكة Google العالمية. ما يحوّل ملحقًا شخصيًا بسيطًا إلى أداة تتبع مادية.
تحديات إنترنت الأشياء
تمثل هذه الثغرة مثالًا صارخًا على التحديات الأمنية في عصر إنترنت الأشياء (IoT). خاصة مع انتشار الأجهزة منخفضة التكلفة التي:
تفتقر إلى تحديثات Firmware منتظمة
لا تدعم إصلاحات أمنية طويلة المدى
حتى في حال قيام Google بمعالجة الخلل من جانبها. ستظل ملايين الأجهزة معرضة للخطر. بسبب غياب ثقافة التحديث الأمني لدى عدد كبير من الشركات المصنعة.
تهديد يتجاوز العالم الرقمي
لا تقتصر مخاطر WhisperPair على سرقة البيانات أو التجسس الرقمي. بل تمتد إلى تهديد السلامة الشخصية للمستخدمين.
ويستدعي ذلك تدخلًا تنظيميًا جادًا لفرض معايير أمنية صارمة على جميع الملحقات الذكية. التي تعتمد على تقنيات الاقتران السريع مع الهواتف الذكية.