Hay cientos de millones de auriculares, earbuds y parlantes inalámbricos que usan Fast Pair de Google, un protocolo que permite vincular con un toque los accesorios Bluetooth a tu dispositivo. Sin embargo, hay muchos de estos productos que no implementaron correctamente la tecnología Fast Pair, según un grupo de investigadores de la universidad KU Leuven de Bélgica, y eso significa que tu dispositivo inalámbrico es vulnerable a los ataques de los hackers.
Los hackers aprovechan la vulnerabilidad de Bluetooth y logran obtener el control completo de tu dispositivo, además de que pueden usar tu micrófono para espiar tus conversaciones y hasta seguir tu ubicación a través de la red Find Hub de Google. Lo único que necesitan es estar en un radio de 14 metros para atacar con lo que los investigadores llaman “WhisperPair”, algo que les toma solo unos segundos.
Ese es el problema de Fast Pairing. Normalmente, tu dispositivo debería desestimar los pedidos de vinculación si no está en modo de vinculación, pero hay muchos dispositivos que no tienen integrada esa barrera, según los investigadores, y por eso permiten que se vinculen dispositivos no autorizados a través del uso común de Bluetooth.
Para seguir tu ubicación, los atacantes usan la red Find Hub de Google, que normalmente permite que los dispositivos Android encuentren accesorios perdidos a través de los informes de ubicación. Sin embargo, aunque no tengas un dispositivo Android, serás vulnerable de todos modos porque el atacante puede sumar el accesorio en cuestión a la red Find Hub usando su propia cuenta de Google.
“La víctima tal vez vea la notificación de seguimiento no deseado después de horas o días, pero la notificación aparecerá en su dispositivo y a veces los usuarios descartan esa advertencia como un problema menor, permitiendo que el atacante siga a la víctima durante mucho tiempo”, escribieron en el informe.
Las marcas con dispositivos vulnerables son Sony, JBL, Xiaomi, Nothing, OnePlus, Jabra y Google, y los headphones Sony y Google en particular son vulnerables al seguimiento de ubicación a través de la red Find Hub. Aquí está la lista de algunos de los modelos vulnerables.
Google dijo que ahora sus accesorios Pixel Buds están protegidos. Los desarrolladores ingeniaron una corrección que previene la vulnerabilidad de Find Hub, con requisitos actualizados de certificación y con correcciones que se recomendaron a los fabricantes.
“Valoramos la colaboración con los investigadores en seguridad a través de nuestro Programa de Recompensas por Vulnerabilidad, que ayuda a mantener seguros a nuestros usuarios”, le dijo un vocero de Google a Gizmodo. “Trabajamos con estos investigadores para corregir las vulnerabilidades y no hemos visto evidencia de ataques fuera del entorno de laboratorio de este informe”.
La actualización del software con las correcciones debería fortalecer a tu dispositivo inalámbrico contra tales ataques, pero tendrás que actualizarlo con la app del fabricante en tu teléfono o computadora. Por ejemplo, si tienes los headphones inalámbricos Sony WH-1000XM6, deberías descargar la app de Sony y fijarte si hay actualizaciones de software.
“Lo que recomendamos como práctica de seguridad es que los usuarios verifiquen si sus headphones tienen las últimas actualizaciones de firmware. Constantemente estamos evaluando y mejorando la seguridad de Fast Pair y Find Hub”, dijo un vocero de Google.
Aunque los hallazgos de este informe son recientes, no es nuevo que se dude de la privacidad y seguridad que brindan los headphones inalámbricos.
El año pasado la ex vicepresidente Kamala Harris dijo que solamente usaba earbuds con cable por todo lo que había aprendido cuando formaba parte del Comité de Inteligencia del Senado.
Harris le dijo en una entrevista a Stephen Colbert: “He estado en reuniones confidenciales y te digo que es mejor no viajar en tren usando sus earpods y pensar que nadie escucha tus conversaciones. Los auriculares con cable son un poco más seguros”.
Este artículo ha sido traducido de Gizmodo US por Romina Fabbretti. Aquí podrás encontrar la versión original.
