UncategorizedStovky milionů sluchátek a reproduktorů ohrožuje chyba v Bluetooth Fast Pair

Stovky milionů sluchátek a reproduktorů ohrožuje chyba v Bluetooth Fast Pair

Bezdrátová sluchátka a přenosné reproduktory se měly připojovat rychle a bez starostí. Přesně to byl cíl technologie Google Fast Pair. Jeden dotyk a hotovo. Teď se ale ukazuje, že stejná pohodlnost může hrát do karet útočníkům. Podle bezpečnostních výzkumníků z belgické univerzity KU Leuven obsahuje Fast Pair vážnou chybu, která otevírá cestu ke špehování, sledování i převzetí kontroly nad audio zařízeními.

Ohroženy jsou stovky milionů kusů elektroniky po celém světě. Nejde jen o okrajové značky. Problém se týká nejméně 17 modelů od deseti výrobců. Na seznamu figurují Sony, JBL, OnePlus, Nothing a také samotný Google. Zranitelné jsou dokonce i Pixel Buds Pro 2. Paradoxem je, že obětí se může stát i uživatel iPhonu, který nikdy žádné zařízení od Googlu nepoužíval.

Útok dostal jméno WhisperPair. Podle výzkumníků trvá převzetí kontroly v průměru deset sekund. Útočník přitom nemusí stát těsně vedle oběti. Stačí vzdálenost až čtrnáct metrů, což je téměř maximum, které Bluetooth dovolí. Na přeplněném nádraží nebo v kavárně by si toho nikdo nevšiml.

Jak WhisperPair funguje

Problém vznikl kvůli neúplné implementaci standardu Fast Pair. Zařízení by měla přijmout požadavek na spárování jen tehdy, když jsou v párovacím režimu. Mnoho modelů to ale nekontroluje. Připojí se prakticky ke komukoli, kdo o to požádá. WhisperPair tuto slabinu zneužívá a vynutí si spojení přes běžný Bluetooth proces.

Jakmile se útočník připojí, možnosti jsou překvapivě široké. Může přerušit přehrávání nebo pustit vlastní zvuk. To je ta méně nebezpečná část. Horší je, že u některých zařízení lze získat přístup k mikrofonu. To umožňuje odposlech rozhovorů. Další scénář počítá se sledováním polohy oběti pomocí Bluetooth signálu.

Výzkumníci upozorňují, že Fast Pair nelze na podporovaných zařízeních vypnout. Uživatel tak nemá jednoduchý způsob, jak se bránit. Jedinou možností je nainstalovat oficiální aplikaci výrobce a čekat na aktualizaci firmwaru. To je problém, protože mnoho lidí žádné doprovodné aplikace vůbec nepoužívá.

Opravy jsou pomalé a nejisté

Google potvrdil, že o chybě ví, a informoval své partnery. U vlastních zařízení vydal aktualizaci. Podle výzkumníků ale šlo obejít i tuto záplatu. To ukazuje, jak složité je problém skutečně vyřešit. Každý výrobce musí připravit vlastní opravu. A tu pak dostat k uživatelům.

Na rozdíl od telefonů nebo počítačů se firmware příslušenství aktualizuje jen zřídka. Často ručně. Pokud uživatel aplikaci nemá, nic se nestane. Opravy se tak mohou šířit týdny nebo měsíce. A mezitím riziko zůstává.

Google tvrdí, že zatím nemá informace o zneužití WhisperPair v reálných útocích. To se ale může rychle změnit. Jakmile se technické detaily dostanou na veřejnost, roste šance, že je někdo zneužije. Výzkumníci proto varují, že obezřetnost je na místě.

Pokud má někdo podezření, že se jeho sluchátka stala terčem útoku, zbývá jediné řešení. Provést tovární reset. Tím se případný útočník odpojí a musel by celý proces zopakovat. Není to ideální, ale zatím lepší možnost neexistuje. A aktualizace? Ty je dobré hlídat víc než kdy dřív.

Reklama

Doporučujeme

Google rozšířil AI Mode o propojení s dalšími aplikacemi

Google dál rozšiřuje možnosti AI Mode, své konverzační vyhledávací služby. Nově dokáže spolupracovat s vybranými aplikacemi třetích stran i s dalšími službami Googlu. Uživatelé tak mohou vytvářet nákupní seznamy, připravovat playlisty nebo plánovat události, aniž by museli mezi aplikacemi přepínat.

PlayStation odkládá uvedení ovladače FlexStrike

Fanoušci bojových her si na nový bezdrátový ovladač FlexStrike od PlayStation budou muset počkat déle. Sony krátce před plánovaným uvedením oznámilo odklad kvůli problémům ve výrobě. Nový termín zatím nestanovilo, slibuje ale další informace v nejbližší době.

Microsoft přehlížel chybu v Secure Boot déle než deset let

Výzkumníci z bezpečnostní společnosti ESET objevili skupinu starých UEFI zavaděčů, které Microsoft podepsal a dlouhá léta je ponechal důvěryhodné. Útočníci díky nim mohli obejít ochranu Secure Boot a otevřít cestu škodlivému kódu, který se usadí hluboko v systému. Microsoft už část problému opravil, odborníci ale upozorňují, že pátrání zdaleka nekončí.

OpenAI chystá chytrý reproduktor bez displeje

OpenAI podle dostupných informací připravuje svůj první hardwarový produkt. Půjde o přenosné zařízení bez displeje, které propojí schopnosti ChatGPT s funkcemi chytré domácnosti. Novinka má fungovat jako osobní AI společník, postupně se učit z návyků svého majitele a nabídnout mnohem osobnější komunikaci než dnešní chytré reproduktory.

Google Pixel 11 se ukázal na obrázcích ve třech barvách

Nové úniky naznačují, že představení řady Google Pixel 11 se rychle blíží. Na Amazonu se totiž na krátkou dobu objevily připravované produktové stránky s obrázky základního modelu i několika technickými údaji. Přestože se kolem nich objevilo několik nejasností, většina informací odpovídá dřívějším únikům.

Apple chystá nové Apple Pencil kvůli pravidlům EU

Apple podle dostupných informací připravuje nové generace stylusů Apple Pencil, které by měly dorazit společně s příštím iPadem Pro. Hlavním důvodem změn nejsou nové funkce, ale evropská pravidla zaměřená na snadnější opravy elektroniky. Firma proto pracuje na nové konstrukci baterií, která má splnit chystané požadavky.

OpenAI ukončí prohlížeč Atlas a jeho funkce přesune do ChatGPT

OpenAI končí s vlastním AI prohlížečem Atlas, který spustil teprve loni na podzim. Firma ale od myšlenky chytrého prohlížení webu neustupuje. Naopak přesouvá jeho klíčové funkce do desktopové aplikace ChatGPT a nového rozšíření pro Google Chrome.

Oživení konzole 3DO skončilo kvůli sporům o práva

Plány na návrat legendární konzole 3DO skončily jen několik dní po svém oznámení. Vydavatel Empire Interactive narazil na komplikované vlastnické vztahy a rozhodl se celý projekt ukončit ještě před jeho skutečným rozjezdem.

Sony ukončí výrobu her na fyzických discích v roce 2028

Sony definitivně potvrdilo přechod k digitální distribuci her. Od ledna 2028 přestane vyrábět fyzické disky pro všechny nové tituly PlayStation. Starší hry na discích zůstanou v prodeji, ale budoucnost značky už bude stát především na stahování z internetu.

Gmail Live míří do testování na Androidu i iPhonu

Google začal testovat novou funkci Gmail Live, která umožní hledat e maily pomocí hlasu a běžné konverzace s umělou inteligencí Gemini. Novinka se nejprve objeví u vybraných uživatelů a později zamíří k předplatitelům Google AI Pro a Ultra.

OnePlus v Evropě začíná odkazovat zákazníky na produkty Oppo

OnePlus udělal v několika evropských zemích další krok, který naznačuje změnu jeho role na trhu. Na oficiálních webech značky se objevily bannery, které zákazníky posílají přímo do e shopu Oppo a doporučují jim jeho telefony, tablety i příslušenství. Podle dostupných informací jde zatím o změnu v Německu, Francii a Španělsku, kde obě značky působí vedle sebe.

Tidal přestane vyplácet odměny za plně AI vytvořenou hudbu

Hudební streamovací služba Tidal mění pravidla pro obsah vytvořený umělou inteligencí. Skladby, které vznikly stoprocentně pomocí AI, na platformě zůstanou, jejich autoři ale už za ně nedostanou tantiémy. Nová pravidla mají podpořit lidskou tvorbu a omezit zneužívání generativní umělé inteligence.

Apple vydal macOS Tahoe 26.5.2

Apple uvolnil novou aktualizaci macOS Tahoe 26.5.2 pro všechny podporované počítače Mac. Nová verze nepřináší viditelné novinky, ale zaměřuje se na opravy zabezpečení. Firma proto doporučuje instalaci všem uživatelům.

WhatsApp zavádí uživatelská jména a skryje telefonní čísla

WhatsApp přidává dlouho očekávanou novinku. Uživatelé si už nyní mohou rezervovat vlastní uživatelské jméno, které později nahradí telefonní číslo při navazování nových kontaktů. Samotná funkce dorazí během následujících měsíců.
Reklama
Reklama
Reklama
Reklama