كشف باحثون في مجال الأمن السيبراني بجامعة KU Leuven عن اكتشافهم لثغرة أمنية بالغة الخطورة، أطلقوا عليها اسم “WhisperPair”، والتي تستهدف مئات الملايين من الملحقات الصوتية التي تعتمد على بروتوكول Google Fast Pair.
تتيح هذه الثغرة للمهاجمين، ضمن نطاق تغطية البلوتوث، اختطاف سماعات الأذن ومكبرات الصوت بصمت تام، حتى في حال استخدامها من قِبَل مالكها الأصلي، وتكمن جذور المشكلة في التطبيق السيئ لمواصفات Fast Pair من قِبَل الشركات المصنعة، إذ لا تفرض الأجهزة “وضع الاقتران” اليدوي بشكل صحيح، بل تظل مفتوحة لاستقبال طلبات الاتصال الجديدة في أي لحظة، وهو ما يمهد الطريق أمام التجسس الصوتي وتتبع الموقع الجغرافي للضحية.
ووفقًا لما نشره موقع The Register، لا تُعد هذه الثغرة عيبًا أساسيًا في بروتوكول البلوتوث بحد ذاته، بل هي ناتجة عن قصور في كيفية تطبيق الشركات المصنعة لإرشادات جوجل، وبمجرد نجاح المهاجم في الاقتران بالجهاز، يصبح بإمكانه بث أصوات غريبة، أو التحكم في مستوى الصوت، أو حتى تنشيط الميكروفون في بعض السيناريوهات، لكن الخطر الأكبر يتمثل في قدرة المهاجم على تسجيل الملحق في حسابه الخاص على خدمة “Find My Device” من جوجل، وذلك قبل أن يتمكن المالك الأصلي من القيام بذلك، مما يتيح له تتبع تحركات الضحية بشكل متواصل عبر شبكة تحديد المواقع العالمية التابعة لجوجل.
أمن سلاسل التوريد وتحديات الملحقات منخفضة التكلفة
تُمثل ثغرة WhisperPair تحديًا ضخمًا للأمن السيبراني في عصر إنترنت الأشياء (IoT)، حيث تفتقر الكثير من الأجهزة منخفضة التكلفة إلى آليات تحديث البرامج الثابتة (Firmware)، وحتى إذا قامت جوجل بمعالجة البروتوكول، فإن ملايين الأجهزة المنتشرة في الأسواق قد تبقى عرضة للاختراق بشكل دائم، وذلك لغياب ثقافة التحديث الأمني لدى معظم مصنعي الملحقات الطرفية.
مخاطر تتبع الموقع الجغرافي المادي عبر الشبكات السحابية
إن إمكانية تسجيل جهاز الضحية في حساب المهاجم ضمن شبكة “Find My Device” تحول الملحق الشخصي من مجرد أداة إلى وسيلة تتبع مادية خطيرة، وهذا النمط من الهجمات يتجاوز بكثير نطاق سرقة البيانات الرقمية ليصل إلى تهديد السلامة الشخصية للمستخدمين، الأمر الذي يستدعي تدخلاً تنظيميًا عاجلاً لفرض معايير أمنية صارمة على كافة الأجهزة التي تتصل بالهواتف الذكية عبر بروتوكولات الاقتران السريع.
