Investigadores descubrieron WhisperPair, un conjunto de vulnerabilidades en el protocolo Fast Pair de Google que afecta a millones de dispositivos de audio (auriculares, altavoces) de marcas como Sony, Jabra, JBL y Google, permitiendo a atacantes tomar control de micrófonos/altavoces, interrumpir comunicaciones o rastrear la ubicación de usuarios incluso en iPhones. Los fallos, presentes en 17 dispositivos certificados, explotan debilidades en la implementación del protocolo, y aunque Google y fabricantes lanzaron parches, la mayoría de usuarios no actualizará sus dispositivos, dejando vulnerabilidades activas por años. 

Google diseñó el protocolo inalámbrico Fast Pair para optimizar las conexiones, ofreciendo una comodidad excepcional: permite a los usuarios conectar sus dispositivos Bluetooth con dispositivos Android y ChromeOS con un solo toque.

Pero, un grupo de investigadores ha descubierto que este mismo protocolo también permite a los atacantes conectarse con la misma comodidad a cientos de millones de auriculares, altavoces. El resultado es una enorme colección de dispositivos de audio compatibles con Fast Pair que permiten a cualquier espía o acosador tomar el control de altavoces y micrófonos, o en algunos casos rastrear la ubicación de un objetivo involuntario, incluso si la víctima es un usuario de iPhone que nunca ha tenido un producto de Google.

Investigadores de seguridad del grupo de Seguridad Informática y Criptografía Industrial de la Universidad KU Leuven de Bélgica revelaron una serie de vulnerabilidades encontradas en 17 accesorios de audio que utilizan el protocolo Fast Pair de Google y que son vendidos por 10 empresas diferentes: Sony, Jabra, JBL, Marshall, Xiaomi, Nothing, OnePlus, Soundcore, Logitech y la propia Google (lista completa). Las técnicas de hackeo que demostraron los investigadores, denominadas colectivamente WhisperPair, permitirían a cualquier persona dentro del alcance Bluetooth de esos dispositivos (cerca de 15 metros en sus pruebas) emparejarse silenciosamente con periféricos de audio.

El ataque WhisperPair de los investigadores se aprovecha de una serie de fallos en la implementación de Fast Pair en los dispositivos que el equipo analizó. Fundamentalmente, la especificación de Google para los dispositivos Fast Pair establece que no deberían poder emparejarse con una computadora o teléfono nuevo mientras ya estén emparejados. Sin embargo, en el caso de los 17 dispositivos vulnerables, cualquiera puede emparejarse silenciosamente con el dispositivo objetivo, incluso si ya está emparejado.

Dependiendo del accesorio, un atacante podría controlar o interrumpir transmisiones de audio o conversaciones telefónicas, reproducir su propio audio a través de los auriculares o altavoces de la víctima al volumen que elija, o piratear los micrófonos de forma indetectable para escuchar su entorno. Peor aún, ciertos dispositivos de Google y Sony compatibles con Find Hub, la función de rastreo de geolocalización de Google, también podrían ser explotados para permitir un acoso sigiloso de alta resolución. Los investigadores demuestran sus técnicas de hacking y rastreo en este video.

Google publicó hoy un aviso de seguridad en coordinación con los investigadores, en el que reconoce sus hallazgos y describe sus esfuerzos para solucionar el problema. Desde que los investigadores revelaron su trabajo a la compañía en agosto, Google parece haber alertado al menos a algunos de los proveedores de dispositivos vulnerables, muchos de los cuales han publicado actualizaciones de seguridad. Sin embargo, dado que muy pocos consumidores piensan en actualizar el software de dispositivos del Internet de las cosas, como auriculares, audífonos intraaurales o altavoces, los investigadores de la KU Leuven advierten que las vulnerabilidades de WhisperPair podrían persistir en los accesorios vulnerables durante meses o incluso años.

En la mayoría de los casos, aplicar estas actualizaciones requiere instalar una aplicación del fabricante en el teléfono o la computadora, un paso que la mayoría de los usuarios nunca realizan y que, a menudo, ni siquiera saben que es necesario. "Si no tienes la aplicación de Sony, nunca sabrás que hay una actualización de software para tus auriculares Sony", afirma Seppe Wyns, investigador de la KU Leuven. "Y aun así, seguirás siendo vulnerable".

Google también indicó que ha publicado correcciones para sus propios accesorios de audio vulnerables y una actualización de Find Hub en Android que, según la compañía, impide que actores maliciosos usen WhisperPair para rastrear a las víctimas. Sin embargo, pocas horas después de que Google informara a los investigadores sobre dicha corrección, estos informaron que habían encontrado una forma de eludir el parche y que aún podían llevar a cabo su técnica de rastreo de Find Hub.

Utilizando las vulnerabilidades de Fast Pair descubiertas por los investigadores, un atacante solo necesitaría estar dentro del alcance de Bluetooth y obtener el denominado valor de ID de modelo, específico del modelo del dispositivo objetivo. Los investigadores señalan que estos ID de Modelo pueden obtenerse si un atacante posee o compra un dispositivo del mismo modelo que el objetivo. También señalan que, en algunos casos, el dispositivo comparte este ID cuando una computadora o teléfono intenta emparejarse con él. Además de estos dos métodos para obtener el ID de Modelo correcto para un dispositivo objetivo, los investigadores también descubrieron que podían consultar una API de Google pública para cada ID de Modelo posible y determinarlos para todos los dispositivos.

Para todos estos problemas, no existe una forma sencilla de cambiar la configuración de los accesorios que los usuarios puedan implementar para protegerse. "No hay forma de desactivar Fast Pair, incluso si nunca lo usarás. Puedes restablecer el dispositivo a la configuración de fábrica, lo que eliminará el acceso del atacante, por lo que tendrá que volver a realizar el ataque; sin embargo, está habilitado por defecto en todos los dispositivos compatibles".

Las vulnerabilidades de WhisperPair parecen surgir de un conjunto complejo e interrelacionado de problemas. Los investigadores señalan que es común que tanto los fabricantes de periféricos como los de chips cometan errores al implementar el estándar técnico Fast Pair. No todas estas fallas resultan en vulnerabilidades de seguridad, pero la magnitud de la confusión plantea dudas sobre la solidez del estándar, según los investigadores.

Google ofrece una aplicación de validación a través de Play Store que los proveedores deben ejecutar para obtener la certificación de sus productos para usar Fast Pair. Según su descripción, la aplicación "valida que Fast Pair se haya implementado correctamente en un dispositivo Bluetooth", generando informes sobre si un producto ha superado o no la evaluación de su implementación de Fast Pair. Los investigadores señalan que todos los dispositivos que probaron en su trabajo contaban con la certificación de la implementación de Fast Pair de Google.

Esto significa, presumiblemente, que la aplicación de Google los clasificó como dispositivos que cumplían con sus requisitos, a pesar de que sus implementaciones presentaban fallas peligrosas. Además, los dispositivos certificados con Fast Pair se someten a pruebas en laboratorios seleccionados por Google que revisan los informes de aprobación y luego evalúan directamente muestras físicas del dispositivo antes de su fabricación a gran escala para confirmar que cumplen con el estándar Fast Pair.

Por ahora, Google y muchos fabricantes de dispositivos tienen actualizaciones de software listas para corregir las vulnerabilidades específicas. Sin embargo, es probable que la instalación de estos parches sea inconsistente, como suele ocurrir en la seguridad del internet de las cosas. Los investigadores instan a todos los usuarios a actualizar sus accesorios vulnerables y los remiten a un sitio web creado por ellos mismos que ofrece una lista con función de búsqueda de dispositivos afectados por WhisperPair. De hecho, recomiendan que todos usen WhisperPair como un recordatorio general para actualizar todos sus dispositivos del internet de las cosas.

Fuente: Wired