Google च्या फास्ट पेअर प्रोटोकॉलमध्ये WhisperPair डब केलेल्या असुरक्षिततेची मालिका शोधण्यात आली आहे, ज्यामुळे लाखो सुप्रसिद्ध ब्रँडचे वायरलेस हेडफोन आणि स्पीकर महत्त्वपूर्ण सुरक्षा आणि गोपनीयता जोखमींसमोर येतात. दोष हल्लेखोरांना गुप्तपणे काही सेकंदात डिव्हाइसेसशी कनेक्ट करण्याची परवानगी देतो, जरी ते आधीपासूनच वापरकर्त्याच्या स्मार्टफोनसह जोडलेले असले तरीही, हेरगिरी आणि स्थान ट्रॅकिंगचे दरवाजे उघडतात.
बेल्जियममधील KU Leuven विद्यापीठातील तज्ञांनी केलेल्या संशोधनात असे दिसून आले आहे की ही समस्या अनेक उत्पादकांकडून प्रोटोकॉलच्या चुकीच्या अंमलबजावणीमध्ये आहे. फास्ट पेअर, Android डिव्हाइसेसशी ब्लूटूथ ॲक्सेसरीज कनेक्ट करणे सोपे आणि वेगवान करण्यासाठी डिझाइन केलेले, विरोधाभासात्मकपणे एक आक्रमण वेक्टर बनले आहे ज्याचा जवळपास कोणीही शोषण करू शकतो.
हा हल्ला कोणत्याही दृश्यमान संवादाशिवाय किंवा पीडित व्यक्तीला चेतावणी न देता केला जाऊ शकतो, ज्यामुळे तो सार्वजनिक ठिकाणी विशेषतः धोकादायक बनतो. सक्तीचे कनेक्शन आक्रमणकर्त्याला ऍक्सेसरीच्या गंभीर कार्यक्षमतेवर नियंत्रण ठेवण्यास अनुमती देते, थेट वापरकर्त्याच्या सुरक्षिततेशी तडजोड करते.
WhisperPair भेद्यता कशी कार्य करते
Google ने ब्लूटूथ ॲक्सेसरीज जोडणे सोपे करण्यासाठी फास्ट पेअर प्रोटोकॉल तयार केला आहे. जेव्हा तुम्ही Android सेल फोनच्या जवळ एक सुसंगत हेडसेट आणता, तेव्हा सिस्टम एक सूचना प्रदर्शित करते जी ब्लूटूथ सेटिंग्जमध्ये मॅन्युअल शोधांची आवश्यकता काढून टाकून, फक्त एका स्पर्शाने कनेक्शनची अनुमती देते. तथापि, WhisperPair त्रुटी या संप्रेषण प्रक्रियेतील त्रुटीचा फायदा घेते.
जवळपासचा हल्लेखोर ट्रान्समिशन सिग्नल्स रोखण्यासाठी आणि हाताळण्यासाठी विशिष्ट उपकरणे वापरू शकतो, बळीच्या ऍक्सेसरीशी जोडणी करण्यास भाग पाडतो. संशोधकांनी केलेल्या चाचण्यांमध्ये असे दिसून आले आहे की मानक ब्लूटूथ श्रेणीमध्ये डिव्हाइस 15 सेकंदांपेक्षा कमी वेळेत हायजॅक केले जाते, जे भौतिक अडथळ्यांशिवाय आदर्श परिस्थितीत अंदाजे 15 मीटरपर्यंत पोहोचू शकते.
अपयशामुळे प्रभावित झालेले ब्रँड आणि मॉडेल
तपासणीने पुष्टी केली की अनेक बाजार-अग्रगण्य कंपन्यांमध्ये व्हिस्परपेअर दोषास असुरक्षित उत्पादने आहेत. सोनी, जेबीएल, अँकर (त्याच्या साउंडकोर लाइनद्वारे), गुगल, जबरा आणि मार्शल हे मुख्य ब्रँड प्रभावित झाले आहेत. समस्येची व्याप्ती एक प्रणालीगत दोष हायलाइट करते जी Google-प्रमाणित डिव्हाइसेसवर देखील भिन्न चिपसेट अंमलबजावणीवर परिणाम करते.
विशिष्ट मॉडेलच्या सूचीमध्ये इन-इअर आणि ओव्हर-इअर हेडफोन्सच्या लोकप्रिय ओळींचा समावेश आहे. पुष्टी केलेल्या उदाहरणांमध्ये सोनीची WH-1000XM लाइन आणि साउंडकोरचे लिबर्टी हेडफोन यांसारख्या अत्यंत व्यावसायिकदृष्ट्या यशस्वी मालिका, तसेच Google Pixel Buds Pro 2, JBL Tune Beam, Jabra Elite 8 Active आणि Marshall Motif II A.N.C सारख्या इतर उपकरणांचा समावेश आहे. संपूर्ण यादीमध्ये दहा वेगवेगळ्या उत्पादकांकडून किमान 17 चाचणी केलेले मॉडेल समाविष्ट आहेत.
हे लक्षात घेणे महत्त्वाचे आहे की फास्ट पेअरला समर्थन देणारी इतर उपकरणे देखील असुरक्षित असू शकतात, जरी त्यांची स्पष्टपणे चाचणी केली गेली नसली तरीही. तज्ञांची शिफारस अशी आहे की वापरकर्त्यांनी त्यांच्या मालकीच्या प्रत्येक उत्पादनाची वैयक्तिक स्थिती तपासावी, सुरक्षा निराकरणे लागू करण्याबद्दल थेट उत्पादकांकडून माहिती घ्यावी.
वापरकर्त्याच्या गोपनीयतेला धोका
एकदा दुर्भावनापूर्ण कनेक्शन स्थापित झाल्यानंतर, आक्रमणकर्त्याला आवश्यक उपकरण कार्यांवर नियंत्रण मिळते, ज्यामुळे गोपनीयतेला गंभीर धोका निर्माण होतो. मुख्य जोखीम मायक्रोफोनमध्ये प्रवेश आहे, ज्याचा वापर पर्यावरणातील संभाषणे ऐकण्यासाठी किंवा पीडिताच्या माहितीशिवाय टेलिफोन कॉल्समध्ये अडथळा आणण्यासाठी केला जाऊ शकतो. ही क्षमता साध्या हेडसेटला हेरगिरीच्या साधनात बदलते.
इव्हस्ड्रॉपिंग व्यतिरिक्त, आक्रमणकर्ता कोणत्याही आवाजात स्पीकरमध्ये ऑडिओ इंजेक्ट करू शकतो. ही क्रिया अवांछित ध्वनींचे पुनरुत्पादन, चालू असलेल्या ऑडिओमध्ये व्यत्यय किंवा चुकीची माहिती थेट वापरकर्त्याच्या कानात प्रसारित करण्यास अनुमती देते. ऑडिओवरील नियंत्रण विचलित करण्यासाठी, व्यत्यय आणण्यासाठी किंवा अधिक दुर्भावनापूर्ण हेतूंसाठी वापरले जाऊ शकते.
अधिक गंभीर प्रकरणांमध्ये, भेद्यता वापरकर्त्याच्या स्थानाचा अचूक मागोवा घेण्यास अनुमती देते. Google च्या “Find My Device” नेटवर्कला सपोर्ट करणारी उपकरणे आक्रमणकर्त्याच्या खात्याशी लिंक केली जाऊ शकतात. हे ऍक्सेसरीचे स्थान आणि परिणामी ते परिधान करणाऱ्याचे सतत निरीक्षण करण्यास अनुमती देते.
हेडफोन अपहरणानंतर प्राथमिक वापरकर्ता आयफोन वापरत असला तरीही ट्रॅकिंग सतत कार्य करते. Google च्या स्थान नेटवर्कचा भाग असलेल्या जवळपासच्या Android डिव्हाइसेसच्या निनावी कनेक्शनद्वारे स्थान प्राप्त केले जाते, एक पाळत ठेवणे प्रणाली तयार करते जी शोधणे आणि अक्षम करणे कठीण आहे.
उत्पादकांकडून प्रतिसाद आणि उपलब्ध अद्यतने
संशोधकांनी दोषाचे जबाबदार प्रकटीकरण केल्यानंतर, अनेक कंपन्यांनी फर्मवेअर अद्यतनांद्वारे निराकरणे वितरीत करण्यास सुरुवात केली. या प्रक्रियेसाठी सहसा वापरकर्त्याने प्रत्येक ब्रँडच्या समर्पित अनुप्रयोगांद्वारे सॉफ्टवेअरची नवीन आवृत्ती व्यक्तिचलितपणे स्थापित करणे आवश्यक असते. उदाहरणार्थ, JBL ने प्रभावित मॉडेल्ससाठी ओव्हर-द-एअर (OTA) अद्यतने पाठवणे सुरू केले आहे आणि वापरकर्त्यांना उपलब्धता तपासण्यासाठी आणि निराकरण स्थापित करण्यासाठी ब्रँडच्या अधिकृत ॲपमध्ये प्रवेश करणे आवश्यक आहे.
अँकर त्याच्या साउंडकोर लाइनसाठी पॅच विकसित करत आहे, त्याच्या ॲपद्वारे वितरणाची योजना आहे. Logitech, यामधून, फिक्सेस थेट त्याच्या डिव्हाइसेसच्या भविष्यातील उत्पादन युनिटमध्ये एकत्रित केले. Google ने त्याच्या स्वतःच्या उत्पादनांवर आणि Find My Device नेटवर्कवर शमन लागू केले आहे, जरी संशोधकांनी विशिष्ट परिस्थिती ओळखल्या आहेत जिथे यापैकी काही संरक्षणांना अद्याप बायपास केले जाऊ शकते. Sony, Nothing आणि OnePlus सारखे इतर ब्रँड या समस्येची चौकशी करत आहेत आणि त्यांच्या ग्राहकांचे पूर्णपणे संरक्षण करण्यासाठी येत्या काही आठवड्यांत नवीन अपडेट्स अपेक्षित आहेत.
ग्राहक संरक्षण उपाय
स्वतःचे संरक्षण करण्यासाठी, मुख्य शिफारस म्हणजे डिव्हाइसेसचे फर्मवेअर अद्ययावत ठेवणे. वापरकर्त्यांनी त्यांच्या हेडफोन किंवा स्पीकर निर्मात्याकडून अधिकृत ॲप डाउनलोड करावे आणि नवीन सॉफ्टवेअर आवृत्त्या इंस्टॉलेशनसाठी उपलब्ध आहेत की नाही हे नियमितपणे तपासावे. सुरक्षा निराकरणे लागू केली आहेत याची खात्री करण्याचा हा सर्वात प्रभावी मार्ग आहे. ज्यांना त्यांचे विशिष्ट मॉडेल असुरक्षित यादीत आहे की नाही हे तपासायचे आहे त्यांच्यासाठी, संशोधकांनी तपशीलवार माहितीसह समर्पित वेबसाइट तयार केल्या आहेत जिथे तुम्ही निर्माता आणि उत्पादनाच्या नावाने शोधू शकता. तात्काळ अपडेट उपलब्ध नसल्यास, ऍक्सेसरीचा फॅक्टरी रीसेट करणे हा तात्पुरता उपाय आहे. जरी ही क्रिया विद्यमान जोड्या काढून टाकते, तरीही ती असुरक्षा कायमची दूर करत नाही. अँड्रॉइड सिस्टीमवर थेट फास्ट पेअर फंक्शन अक्षम करणे शक्य नसल्यामुळे, ब्ल्यूटूथ वापरात नसताना सार्वजनिक ठिकाणी ते बंद ठेवणे, आक्रमण पृष्ठभाग कमी करणे ही अतिरिक्त खबरदारी आहे. ऍक्सेसरीला दृश्यमान पेअरींग मोडमध्ये दीर्घ कालावधीसाठी सोडणे टाळणे आणि तुमच्या सेल फोनवरील कोणत्याही विचित्र पेअरिंग सूचनांचे निरीक्षण करणे देखील उचित आहे.
वर्तमान दोष शोषण परिदृश्य
आजपर्यंत, व्हिस्परपेअर असुरक्षिततेचा गुन्हेगारांनी नियंत्रित संशोधन वातावरणाबाहेरील वास्तविक हल्ल्यांमध्ये शोषण केल्याची पुष्टी केलेली नोंद नाही. संशोधक आणि कंपन्यांमधील समन्वित प्रकटीकरण, सामान्य लोकांसाठी तत्काळ जोखीम कमी करून, दोष मोठ्या प्रमाणावर वापरला जाण्यापूर्वी निराकरणाच्या विकासासाठी परवानगी दिली.
