விஸ்பர்பேர் குறைபாடு சோனி, ஜேபிஎல் மற்றும் ஆங்கர் ஹெட்ஃபோன்களைக் கண்காணிப்பதற்கும் அமைதியாகக் கேட்பதற்கும் அம்பலப்படுத்துகிறது

விஸ்பர்பேர் என அழைக்கப்படும் தொடர்ச்சியான பாதிப்புகள், Google இன் Fast Pair நெறிமுறையில் கண்டறியப்பட்டுள்ளன, இது மில்லியன் கணக்கான நன்கு அறியப்பட்ட பிராண்டுகளின் வயர்லெஸ் ஹெட்ஃபோன்கள் மற்றும் ஸ்பீக்கர்களை குறிப்பிடத்தக்க பாதுகாப்பு மற்றும் தனியுரிமை அபாயங்களுக்கு வெளிப்படுத்துகிறது. இந்த குறைபாடு தாக்குபவர்களை சில நொடிகளில் ரகசியமாக சாதனங்களுடன் இணைக்க அனுமதிக்கிறது, அவை ஏற்கனவே பயனரின் ஸ்மார்ட்போனுடன் இணைக்கப்பட்டிருந்தாலும், உளவு பார்ப்பதற்கும் இருப்பிடத்தை கண்காணிப்பதற்கும் கதவைத் திறக்கிறது.

பெல்ஜியத்தில் உள்ள KU Leuven பல்கலைக்கழகத்தின் நிபுணர்களால் நடத்தப்பட்ட ஆராய்ச்சி, பல உற்பத்தியாளர்களால் நெறிமுறையை தவறாக செயல்படுத்துவதில் சிக்கல் உள்ளது என்பதை வெளிப்படுத்தியது. ஆண்ட்ராய்டு சாதனங்களுடன் புளூடூத் துணைக்கருவிகளை இணைப்பதை எளிதாக்குவதற்கும் விரைவுபடுத்துவதற்கும் வடிவமைக்கப்பட்ட Fast Pair, முரண்பாடாக அருகிலுள்ள எவரும் பயன்படுத்தக்கூடிய தாக்குதல் திசையனாக மாறியுள்ளது.

பாதிக்கப்பட்டவருக்கு எந்தவிதமான தொடர்பு அல்லது எச்சரிக்கை அறிவிப்பு இல்லாமல் தாக்குதல் நடத்தப்படலாம், இது பொது இடங்களில் குறிப்பாக ஆபத்தானது. வலுக்கட்டாயமான இணைப்பு, பயனரின் பாதுகாப்பை நேரடியாக சமரசம் செய்து, துணைக்கருவியின் முக்கியமான செயல்பாட்டின் கட்டுப்பாட்டை தாக்குபவரை அனுமதிக்கிறது.

விஸ்பர்பேர் பாதிப்பு எவ்வாறு செயல்படுகிறது

புளூடூத் பாகங்கள் இணைவதை எளிதாக்குவதற்காக Google ஆல் Fast Pair நெறிமுறை உருவாக்கப்பட்டது. நீங்கள் இணக்கமான ஹெட்செட்டை ஆண்ட்ராய்டு செல்போனுக்கு அருகில் கொண்டு வரும்போது, ​​புளூடூத் அமைப்புகளில் கைமுறையாகத் தேடுவதற்கான தேவையை நீக்கி, ஒரே ஒரு தொடுதலுடன் இணைப்பை அனுமதிக்கும் அறிவிப்பை கணினி காண்பிக்கும். இருப்பினும், விஸ்பர்பேர் குறைபாடு இந்த தகவல்தொடர்பு செயல்பாட்டில் ஒரு ஓட்டையைப் பயன்படுத்துகிறது.

அருகிலுள்ள தாக்குபவர் குறிப்பிட்ட உபகரணங்களைப் பயன்படுத்தி ஒலிபரப்பு சமிக்ஞைகளை இடைமறித்து கையாளலாம், பாதிக்கப்பட்டவரின் துணையுடன் இணைப்பை கட்டாயப்படுத்தலாம். ஆராய்ச்சியாளர்களால் மேற்கொள்ளப்பட்ட சோதனைகள், நிலையான புளூடூத் வரம்பிற்குள் சாதனம் 15 வினாடிகளுக்குள் கடத்தப்படுவதை நிரூபித்தது, இது உடல் தடைகள் இல்லாமல் சிறந்த நிலையில் சுமார் 15 மீட்டரை எட்டும்.

தோல்வியால் பாதிக்கப்பட்ட பிராண்டுகள் மற்றும் மாடல்கள்

பல சந்தை முன்னணி நிறுவனங்கள் WhisperPair குறைபாட்டால் பாதிக்கப்படக்கூடிய தயாரிப்புகளைக் கொண்டிருப்பதை விசாரணை உறுதிப்படுத்தியது. பாதிக்கப்பட்ட முக்கிய பிராண்டுகளில் சோனி, ஜேபிஎல், ஆங்கர் (அதன் சவுண்ட்கோர் லைன் மூலம்), கூகுள், ஜாப்ரா மற்றும் மார்ஷல் ஆகியவை அடங்கும். சிக்கலின் நோக்கம், கூகுள் சான்றளிக்கப்பட்ட சாதனங்களில் கூட, வெவ்வேறு சிப்செட் செயலாக்கங்களைப் பாதிக்கும் முறையான குறைபாட்டை எடுத்துக்காட்டுகிறது.

குறிப்பிட்ட மாடல்களின் பட்டியலில் இன்-இயர் மற்றும் ஓவர்-இயர் ஹெட்ஃபோன்களின் பிரபலமான வரிகள் அடங்கும். உறுதிப்படுத்தப்பட்ட எடுத்துக்காட்டுகளில் சோனியின் WH-1000XM லைன் மற்றும் சவுண்ட்கோரின் லிபர்ட்டி ஹெட்ஃபோன்கள் போன்ற வணிகரீதியாக வெற்றிகரமான தொடர்களும், Google Pixel Buds Pro 2, JBL Tune Beam, Jabra Elite 8 Active மற்றும் Marshall Motif II A.N.C போன்ற பிற சாதனங்களும் அடங்கும். முழுமையான பட்டியலில் பத்து வெவ்வேறு உற்பத்தியாளர்களிடமிருந்து குறைந்தது 17 சோதிக்கப்பட்ட மாடல்கள் உள்ளன.

Fast Pair ஐ ஆதரிக்கும் பிற பாகங்கள் வெளிப்படையாக சோதிக்கப்படாவிட்டாலும் கூட, அவை பாதிக்கப்படலாம் என்பதைக் கவனத்தில் கொள்ள வேண்டும். நிபுணர்களின் பரிந்துரை என்னவென்றால், பயனர்கள் தங்களுக்குச் சொந்தமான ஒவ்வொரு தயாரிப்பின் தனிப்பட்ட நிலையைச் சரிபார்த்து, பாதுகாப்புத் திருத்தங்களைப் பயன்படுத்துவது குறித்து உற்பத்தியாளர்களிடம் இருந்து நேரடியாகத் தகவல்களைப் பெற வேண்டும்.

பயனர் தனியுரிமைக்கு ஆபத்துகள்

தீங்கிழைக்கும் இணைப்பு நிறுவப்பட்டதும், தாக்குபவர் அத்தியாவசிய சாதன செயல்பாடுகளின் மீது கட்டுப்பாட்டைப் பெறுகிறார், இது தனியுரிமைக்கு கடுமையான அச்சுறுத்தலை ஏற்படுத்துகிறது. முக்கிய ஆபத்து மைக்ரோஃபோனை அணுகுவதாகும், இது சூழலில் உரையாடல்களைக் கேட்க அல்லது பாதிக்கப்பட்டவருக்குத் தெரியாமல் தொலைபேசி அழைப்புகளை இடைமறிக்கப் பயன்படுகிறது. இந்த திறன் ஒரு எளிய ஹெட்செட்டை உளவு பார்க்கும் கருவியாக மாற்றுகிறது.

ஒட்டுக் கேட்பது தவிர, தாக்குபவர் எந்த ஒலியளவிலும் ஸ்பீக்கர்களில் ஆடியோவைச் செலுத்த முடியும். இந்தச் செயல் தேவையற்ற ஒலிகளின் மறுஉருவாக்கம், செயல்பாட்டில் உள்ள ஆடியோவின் குறுக்கீடு அல்லது தவறான தகவலை நேரடியாகப் பயனரின் காதுக்குள் அனுப்ப அனுமதிக்கிறது. கவனச்சிதறல், இடையூறு அல்லது அதிக தீங்கிழைக்கும் நோக்கங்களுக்காக ஆடியோ மீதான கட்டுப்பாடு பயன்படுத்தப்படலாம்.

மிகவும் தீவிரமான சந்தர்ப்பங்களில், பாதிப்பு பயனரின் இருப்பிடத்தை துல்லியமாக கண்காணிக்க அனுமதிக்கிறது. Google இன் “எனது சாதனத்தைக் கண்டுபிடி” நெட்வொர்க்கை ஆதரிக்கும் சாதனங்கள் தாக்குபவர்களின் கணக்குடன் இணைக்கப்படலாம். இது துணைக்கருவியின் இருப்பிடத்தையும், அதன் விளைவாக அதன் அணிந்திருப்பவரையும் தொடர்ந்து கண்காணிக்க அனுமதிக்கிறது.

ஆரம்ப ஹெட்ஃபோன் கடத்தலுக்குப் பிறகு முதன்மைப் பயனர் ஐபோனைப் பயன்படுத்தினாலும், கண்காணிப்பு தொடர்ந்து செயல்படும். Google இன் இருப்பிட நெட்வொர்க்கின் ஒரு பகுதியாக இருக்கும் அருகிலுள்ள Android சாதனங்களுக்கான அநாமதேய இணைப்புகள் மூலம் இருப்பிடம் பெறப்படுகிறது, இது ஒரு கண்காணிப்பு அமைப்பை உருவாக்குகிறது, அதைக் கண்டறிந்து முடக்குவது கடினம்.

உற்பத்தியாளர்களிடமிருந்து பதில் மற்றும் கிடைக்கக்கூடிய புதுப்பிப்புகள்

ஆராய்ச்சியாளர்களால் குறைபாட்டை பொறுப்பாக வெளிப்படுத்திய பிறகு, பல நிறுவனங்கள் ஃபார்ம்வேர் புதுப்பிப்புகள் மூலம் திருத்தங்களை விநியோகிக்கத் தொடங்கின. ஒவ்வொரு பிராண்டின் பிரத்யேக பயன்பாடுகள் மூலம் மென்பொருளின் புதிய பதிப்பை கைமுறையாக நிறுவ இந்த செயல்முறைக்கு வழக்கமாக பயனர் தேவைப்படுகிறது. எடுத்துக்காட்டாக, JBL, பாதிக்கப்பட்ட மாடல்களுக்கான ஓவர்-தி-ஏர் (OTA) புதுப்பிப்புகளை அனுப்பத் தொடங்கியுள்ளது, மேலும் பயனர்கள் பிராண்டின் அதிகாரப்பூர்வ பயன்பாட்டை அணுகி கிடைப்பதைச் சரிபார்த்து, சரிசெய்தலை நிறுவ வேண்டும்.

ஆங்கர் அதன் சவுண்ட்கோர் வரிசைக்கான இணைப்புகளை உருவாக்கி வருகிறது, அதன் பயன்பாட்டின் மூலம் விநியோகம் திட்டமிடப்பட்டுள்ளது. லாஜிடெக், அதன் சாதனங்களின் எதிர்கால உற்பத்தி அலகுகளில் நேரடியாக திருத்தங்களை ஒருங்கிணைத்தது. Google அதன் சொந்த தயாரிப்புகள் மற்றும் Find My Device நெட்வொர்க்கிற்குத் தணிப்புகளைப் பயன்படுத்தியுள்ளது, இருப்பினும் இந்த பாதுகாப்புகளில் சிலவற்றை இன்னும் கடந்து செல்லக்கூடிய குறிப்பிட்ட காட்சிகளை ஆராய்ச்சியாளர்கள் கண்டறிந்துள்ளனர். சோனி, நத்திங் மற்றும் ஒன்பிளஸ் போன்ற பிற பிராண்டுகள் இந்த சிக்கலை விசாரித்து வருகின்றன, மேலும் வரும் வாரங்களில் தங்கள் வாடிக்கையாளர்களை முழுமையாகப் பாதுகாக்க புதிய அப்டேட்கள் எதிர்பார்க்கப்படுகின்றன.

நுகர்வோர் பாதுகாப்பு நடவடிக்கைகள்

உங்களைப் பாதுகாத்துக் கொள்ள, சாதனங்களின் ஃபார்ம்வேரைப் புதுப்பித்த நிலையில் வைத்திருப்பதே முக்கிய பரிந்துரை. பயனர்கள் தங்கள் ஹெட்ஃபோன் அல்லது ஸ்பீக்கர் உற்பத்தியாளரிடமிருந்து அதிகாரப்பூர்வ பயன்பாட்டைப் பதிவிறக்க வேண்டும் மற்றும் நிறுவலுக்கு புதிய மென்பொருள் பதிப்புகள் கிடைக்கின்றனவா என்பதைப் பார்க்கவும். பாதுகாப்புத் திருத்தங்கள் பயன்படுத்தப்படுவதை உறுதி செய்வதற்கான மிகச் சிறந்த வழி இதுவாகும். அவர்களின் குறிப்பிட்ட மாதிரி பாதிக்கப்படக்கூடிய பட்டியலில் உள்ளதா என்பதைச் சரிபார்க்க விரும்புவோருக்கு, ஆராய்ச்சியாளர்கள் விரிவான தகவலுடன் பிரத்யேக வலைத்தளங்களை உருவாக்கியுள்ளனர், அங்கு நீங்கள் உற்பத்தியாளர் மற்றும் தயாரிப்பு பெயர் மூலம் தேடலாம். உடனடி புதுப்பிப்பு கிடைக்கவில்லை என்றால், துணை சாதனத்தின் தொழிற்சாலை மீட்டமைப்பைச் செய்வது தற்காலிக நடவடிக்கையாகும். இந்தச் செயல் ஏற்கனவே உள்ள ஜோடிகளை நீக்கினாலும், அது பாதிப்பை நிரந்தரமாக அகற்றாது. ஆண்ட்ராய்டு சிஸ்டத்தில் ஃபாஸ்ட் பெயர் செயல்பாட்டை நேரடியாக முடக்க இயலாது என்பதால், கூடுதல் முன்னெச்சரிக்கையாக, புளூடூத் பயன்பாட்டில் இல்லாத போதெல்லாம் அதை அணைத்து, தாக்குதல் மேற்பரப்பைக் குறைக்கலாம். துணைக்கருவியை நீண்ட காலத்திற்கு காணக்கூடிய இணைத்தல் பயன்முறையில் வைப்பதைத் தவிர்க்கவும், உங்கள் செல்போனில் ஏதேனும் விசித்திரமான இணைத்தல் அறிவிப்புகளைக் கண்காணிக்கவும் அறிவுறுத்தப்படுகிறது.

தற்போதைய குறைபாடு சுரண்டல் காட்சி

இன்றுவரை, கட்டுப்படுத்தப்பட்ட ஆராய்ச்சி சூழல்களுக்கு வெளியே உண்மையான தாக்குதல்களில் விஸ்பர்பேர் பாதிப்பு குற்றவாளிகளால் பயன்படுத்தப்பட்டதாக உறுதிப்படுத்தப்பட்ட பதிவுகள் எதுவும் இல்லை. ஆராய்ச்சியாளர்கள் மற்றும் நிறுவனங்களுக்கு இடையே ஒருங்கிணைக்கப்பட்ட வெளிப்பாடு, குறைபாட்டை பெரிய அளவில் பயன்படுத்துவதற்கு முன், திருத்தங்களை உருவாக்க அனுமதித்தது, இது பொது மக்களுக்கு உடனடி ஆபத்தை குறைக்கிறது.