Google diseñó el
protocolo inalámbrico Fast Pair
para optimizar las conexiones, ofreciendo una comodidad excepcional: permite a
los usuarios conectar sus dispositivos Bluetooth con dispositivos Android y
ChromeOS con un solo toque.
Pero, un grupo de investigadores ha descubierto que este mismo protocolo
también permite a los atacantes conectarse con la misma comodidad a cientos de
millones de auriculares, altavoces. El resultado es una enorme colección de
dispositivos de audio compatibles con Fast Pair que
permiten a cualquier espía o acosador tomar el control de altavoces y
micrófonos, o en algunos casos rastrear la ubicación de un objetivo
involuntario, incluso si la víctima es un usuario de iPhone que nunca ha
tenido un producto de Google.
Investigadores de seguridad del grupo de Seguridad Informática y Criptografía
Industrial de la Universidad KU Leuven de Bélgica
revelaron una serie de vulnerabilidades
encontradas en 17 accesorios de audio que utilizan el protocolo Fast Pair de
Google y que son vendidos por 10 empresas diferentes: Sony, Jabra, JBL,
Marshall, Xiaomi, Nothing, OnePlus, Soundcore, Logitech y la propia Google (lista completa). Las técnicas de hackeo que demostraron los investigadores, denominadas
colectivamente WhisperPair, permitirían a cualquier persona dentro del
alcance Bluetooth de esos dispositivos (cerca de 15 metros en sus pruebas)
emparejarse silenciosamente con periféricos de audio.
El ataque WhisperPair de los investigadores se aprovecha de una serie de
fallos en la implementación de Fast Pair en los dispositivos que el equipo
analizó. Fundamentalmente, la especificación de Google para los dispositivos
Fast Pair establece que no deberían poder emparejarse con una computadora o
teléfono nuevo mientras ya estén emparejados. Sin embargo, en el caso de los
17 dispositivos vulnerables, cualquiera puede emparejarse silenciosamente
con el dispositivo objetivo, incluso si ya está emparejado.
Dependiendo del accesorio, un atacante podría controlar o interrumpir
transmisiones de audio o conversaciones telefónicas, reproducir su propio
audio a través de los auriculares o altavoces de la víctima al volumen que
elija, o piratear los micrófonos de forma indetectable para escuchar su
entorno. Peor aún, ciertos dispositivos de Google y Sony compatibles con Find
Hub, la función de rastreo de geolocalización de Google, también podrían ser
explotados para permitir un acoso sigiloso de alta resolución. Los
investigadores demuestran sus técnicas de hacking y rastreo en
este video.
Google publicó hoy un aviso de seguridad en coordinación con los
investigadores, en el que reconoce sus hallazgos y describe sus esfuerzos para
solucionar el problema. Desde que los investigadores revelaron su trabajo a la
compañía en agosto, Google parece haber alertado al menos a algunos de los
proveedores de dispositivos vulnerables, muchos de los cuales han publicado
actualizaciones de seguridad. Sin embargo, dado que muy pocos consumidores
piensan en actualizar el software de dispositivos del Internet de las cosas,
como auriculares, audífonos intraaurales o altavoces, los investigadores de la
KU Leuven advierten que las vulnerabilidades de WhisperPair podrían persistir
en los accesorios vulnerables durante meses o incluso años.
En la mayoría de los casos, aplicar estas actualizaciones requiere instalar
una aplicación del fabricante en el teléfono o la computadora, un paso que la
mayoría de los usuarios nunca realizan y que, a menudo, ni siquiera saben que
es necesario.
«Si no tienes la aplicación de Sony, nunca sabrás que hay una actualización
de software para tus auriculares Sony», afirma Seppe Wyns, investigador de la KU Leuven.
«Y aun así, seguirás siendo vulnerable».
Google también indicó que ha publicado correcciones para sus propios
accesorios de audio vulnerables y una actualización de Find Hub en Android
que, según la compañía, impide que actores maliciosos usen WhisperPair para
rastrear a las víctimas. Sin embargo, pocas horas después de que Google
informara a los investigadores sobre dicha corrección, estos informaron que
habían encontrado una forma de eludir el parche y que aún podían llevar a cabo
su técnica de rastreo de Find Hub.
Utilizando las vulnerabilidades de Fast Pair descubiertas por los
investigadores, un atacante solo necesitaría estar dentro del alcance de
Bluetooth y obtener el denominado valor de ID de modelo, específico del modelo
del dispositivo objetivo. Los investigadores señalan que estos ID de Modelo
pueden obtenerse si un atacante posee o compra un dispositivo del mismo modelo
que el objetivo. También señalan que, en algunos casos, el dispositivo
comparte este ID cuando una computadora o teléfono intenta emparejarse con él.
Además de estos dos métodos para obtener el ID de Modelo correcto para un
dispositivo objetivo, los investigadores también descubrieron que podían
consultar una API de Google pública para cada ID de Modelo posible y
determinarlos para todos los dispositivos.
Para todos estos problemas, no existe una forma sencilla de cambiar la
configuración de los accesorios que los usuarios puedan implementar para
protegerse.
«No hay forma de desactivar Fast Pair, incluso si nunca lo usarás. Puedes
restablecer el dispositivo a la configuración de fábrica, lo que eliminará
el acceso del atacante, por lo que tendrá que volver a realizar el ataque;
sin embargo, está habilitado por defecto en todos los dispositivos
compatibles».
Las vulnerabilidades de WhisperPair parecen surgir de un conjunto complejo e
interrelacionado de problemas. Los investigadores señalan que es común que
tanto los fabricantes de periféricos como los de chips cometan errores al
implementar el estándar técnico Fast Pair. No todas estas fallas resultan en
vulnerabilidades de seguridad, pero la magnitud de la confusión plantea dudas
sobre la solidez del estándar, según los investigadores.
Google ofrece una
aplicación de validación a través de Play Store
que los proveedores deben ejecutar para obtener la certificación de sus
productos para usar Fast Pair. Según su descripción, la aplicación
«valida que Fast Pair se haya implementado correctamente en un dispositivo
Bluetooth», generando informes sobre si un producto ha superado o no la evaluación de
su implementación de Fast Pair. Los investigadores señalan que todos los
dispositivos que probaron en su trabajo contaban con la certificación de la
implementación de Fast Pair de Google.
Esto significa, presumiblemente, que la aplicación de Google los clasificó
como dispositivos que cumplían con sus requisitos, a pesar de que sus
implementaciones presentaban fallas peligrosas. Además, los dispositivos
certificados con Fast Pair se someten a pruebas en laboratorios seleccionados
por Google que revisan los informes de aprobación y luego evalúan directamente
muestras físicas del dispositivo antes de su fabricación a gran escala para
confirmar que cumplen con el estándar Fast Pair.
Por ahora, Google y muchos fabricantes de dispositivos tienen actualizaciones
de software listas para corregir las vulnerabilidades específicas. Sin
embargo, es probable que la instalación de estos parches sea inconsistente,
como suele ocurrir en la seguridad del internet de las cosas. Los
investigadores instan a todos los usuarios a actualizar sus accesorios
vulnerables y los remiten a un sitio web creado por ellos mismos que ofrece
una lista con función de búsqueda de dispositivos afectados por WhisperPair.
De hecho, recomiendan que todos usen WhisperPair como un recordatorio general
para actualizar todos sus dispositivos del internet de las cosas.
Fuente:
Wired