العديد من أجهزة الصوت التي تعمل بتقنية Bluetooth من شركات مثل Sony وAnker وNothing معرضة لخلل جديد يمكن أن يسمح للمهاجمين بالاستماع إلى المحادثات أو تتبع الأجهزة التي تستخدم شبكة Find Hub من Google، كما ذكرت من قبل سلكي.
اكتشف باحثون من مجموعة أمن الكمبيوتر والتشفير الصناعي بجامعة KU Leuven في بلجيكا العديد من نقاط الضعف في بروتوكول Fast Pair من Google والذي يمكن أن يسمح للمتسلل داخل نطاق البلوتوث بالاقتران سرًا ببعض سماعات الرأس وسماعات الأذن ومكبرات الصوت. الهجمات التي أطلق عليها الباحثون اسم جماعي WhisperPair، يمكن استخدامه حتى على مستخدمي iPhone الذين لديهم أجهزة Bluetooth متأثرة على الرغم من كون Fast Pair ميزة خاصة بشركة Google.
يعمل Fast Pair على تبسيط عملية الاقتران عبر Bluetooth ويتيح للملحقات الصوتية اللاسلكية الاتصال بأجهزة Android أو Chrome OS بمجرد النقر عليها معًا. لكن الباحثين وجدوا أن العديد من الأجهزة لا تنفذ Fast Pair بشكل صحيح، بما في ذلك مواصفات Google التي تنص على أن أجهزة Fast Pair لا ينبغي أن تكون قادرة على الاتصال بجهاز جديد أثناء إقرانها بالفعل بجهاز آخر.
اختبر الباحثون هجمات WhisperPair على أكثر من عشرين جهازًا يعمل بتقنية Bluetooth ونجحوا في اختراق 17 منها. وكانوا قادرين على تشغيل الصوت الخاص بهم من خلال سماعات الرأس ومكبرات الصوت المخترقة بأي مستوى صوت، واعتراض المكالمات الهاتفية، وحتى التنصت على المحادثات باستخدام ميكروفونات الأجهزة.
تم العثور على مشكلة أكثر خطورة تؤثر على خمسة منتجات من Sony وPixel Buds Pro 2 من Google. إذا لم تكن الأجهزة متصلة مسبقًا بجهاز Android ومرتبطة بحساب Google (وهو أمر غير مطلوب عند استخدامها مع أجهزة iPhone)، فيمكن استخدام WhisperPair لإقرانها وربطها بحساب Google الخاص بالمتسلل والذي سيتم التعرف عليه كمالك للجهاز. وهذا من شأنه أن يسمح للمتسلل باستخدام شبكة Find Hub من Google لتتبع موقع المستخدم وحركاته من خلال سماعات الرأس، على افتراض أن إشعارات الهاتف الذكي التي تحذر من أن الجهاز كان يتتبعه قد تم رفضها باعتبارها أخطاء.
أبلغ الباحثون Google بالنتائج التي توصلوا إليها في أغسطس 2025. ثم أوصت الشركة بعد ذلك بإصلاحات لـ “شركاء OEM الملحقين” في سبتمبر وقامت بتحديث متطلبات الاعتماد الخاصة بها للتخفيف من المشكلات المماثلة في المستقبل. وقال إد فرنانديز، المتحدث باسم جوجل، في بيان مكتوب: “لقد عملنا مع هؤلاء الباحثين لإصلاح هذه الثغرات الأمنية، ولم نر أي دليل على أي استغلال خارج إطار معمل هذا التقرير”. الحافة.
تعمل الإصلاحات الموصى بها على حل جميع مشكلات Fast Pair بمجرد تثبيت تحديث البرنامج، لكن Google نفذت تحديثًا إضافيًا لشبكة Find Hub لمنع استخدام WhisperPair لتتبع بعض أجهزة Bluetooth التي لم يتم تصحيحها. وقال الباحثون سلكي ولم يستغرق الأمر سوى بضع ساعات لتجاوز هذا التصحيح ومواصلة التتبع. وفقًا لفرنانديز، استخدم الباحثون “البرامج الثابتة القديمة/غير المحدثة لملحقات OEM من أجل تنفيذ الحل البديل”، وتبحث Google “في تجاوز هذا الإصلاح الإضافي”، والذي تم تقديمه في وقت سابق من هذا الأسبوع فقط.
لا يمكن تعطيل ميزة Fast Pair، وبالتالي فإن الطريقة الوحيدة للحماية من هجمات WhisperPair هي أن يقوم المستخدمون بتثبيت تحديثات البرامج الثابتة الصادرة عن الشركات المصنعة والتي تعمل على حل الثغرات الأمنية. الحافة تواصلت مع جميع الشركات المصنعة التي لديها أجهزة متأثرة لتأكيد التقدم المحرز في الإصلاحات. قال سبنسر بلانك، رئيس قسم التسويق والاتصالات في شركة OnePlus بأمريكا الشمالية الحافة في بيان مكتوب أن الشركة “تأخذ جميع التقارير الأمنية على محمل الجد” وأنها “تحقق حاليًا في هذا الأمر وستتخذ الإجراء المناسب لحماية أمان وخصوصية مستخدمينا”.
سنقوم بتحديث هذه القصة مع استجابة الشركات الأخرى.
