باحثون يكشفون ثغرة WhisperPair الأمنية في أجهزة البلوتوث
أصدر باحثون في جامعة KU Leuven في بلجيكا تحذيراً لمستخدمي أجهزة الصوت التي تعمل بتقنية البلوتوث (Bluetooth)، مشيرين إلى أن أجهزتهم قد تكون عرضة للخطر بسبب ثغرات أمنية في تقنية Fast Pair من جوجل. وتعد هذه الميزة أداة تهدف إلى تسهيل وتسريع عملية اتصال الأجهزة ببعضها البعض.
من جانبها، صرحت شركة جوجل أنها قامت بمعالجة المشكلات التي قد تسمح للمخترقين باختطاف الأجهزة الصوتية وتتبع مواقعها الجغرافية. ومع ذلك، يؤكد الباحثون أن هذه الثغرات، التي أطلقوا عليها مجتمعة اسم WhisperPair، لا تزال تؤثر على منتجات من شركات عالمية كبرى، بما في ذلك Sony وHarman، بالإضافة إلى أجهزة جوجل نفسها. وأظهرت الاختبارات المعملية إمكانية اختراق هذه الأجهزة من مسافة تصل إلى 46 قدماً تقريباً.
رد جوجل وخطوات تأمين الأجهزة
أوضح متحدث باسم جوجل لموقع CNET أن الشركة قامت بتحديث البرمجيات لبعض منتجاتها الصوتية، بما في ذلك سماعات Pixel Buds Pro. وأشار المتحدث إلى أن بعض هذه الثغرات ناتجة عن عدم اتباع الشركات الأخرى لمعايير Fast Pair بشكل دقيق، مؤكداً أن جوجل قد أبلغت تلك الشركات بهذه المشكلات في سبتمبر الماضي.
وفي بيان رسمي، قالت جوجل: “نحن نقدر التعاون مع الباحثين الأمنيين من خلال برنامج مكافآت الثغرات (Vulnerability Rewards Program)، والذي يساعد في الحفاظ على سلامة مستخدمينا. لقد عملنا مع هؤلاء الباحثين لإصلاح هذه الثغرات، ولم نرَ أي دليل على استغلالها خارج المختبر”. وأضافت الشركة: “كأفضل ممارسة أمنية، نوصي المستخدمين بالتحقق من سماعاتهم للحصول على أحدث تحديثات البرمجيات الثابتة (Firmware Updates)”.
مخاوف تتبع الموقع الجغرافي
استجابةً للمخاوف المتعلقة بتتبع الأجهزة، أضافت جوجل أنها أطلقت إصلاحاً من جانب الخوادم لمنع تهيئة شبكة Find Hub في هذا السيناريو، مما يعالج بشكل كامل مشكلة تتبع الموقع المحتملة عبر جميع الأجهزة المتأثرة. كما أصدرت جوجل تحديثين أمنيين هذا الشهر، أحدهما لنظام Wear OS والآخر لأجهزة Google Pixel، وكلاهما يتضمن معلومات حول حزم التصحيح الأمني (Security Patches).
تأثير الثغرة على مئات الملايين من المستخدمين
تعمل مجموعة أبحاث WhisperPair حالياً على ورقة أكاديمية تفصل نتائجها. وذكرت المجموعة عبر موقعها الإلكتروني: “تظهر نتائجنا كيف يمكن لميزة بسيطة تهدف لتحسين تجربة المستخدم أن تخلق مخاطر أمنية وخصوصية واسعة النطاق لمئات الملايين من المستخدمين”.
يُذكر أن تقنية Fast Pair هي تكنولوجيا قدمتها جوجل عام 2017 لربط أجهزة البلوتوث بنقرة واحدة عبر أنظمة Android وChrome OS. وقد حصل الباحثون على مكافأة قدرها 15,000 دولار من جوجل بعد الإبلاغ عن النتائج التي توصلوا إليها، مع الاتفاق على فترة إفصاح مدتها 150 يوماً للسماح للشركة بإصدار التحديثات اللازمة.
ومع ذلك، أشار الباحثون إلى أن مستخدمي سماعات الأذن اللاسلكية قد لا يكونون على دراية بوجود تحديثات أمنية ضرورية لحمايتهم، موفرين صفحة خاصة على موقعهم تتيح للمستخدمين معرفة ما إذا كانت أجهزتهم عرضة للخطر وكيفية تحديثها.
المصدر: CNET
اترك تعليقاً