- Angreifer können die Mikrofone Ihres Lautsprechers hacken und Ihren Standort verfolgen
- Die Schwachstelle liegt in der Fast Pair-Funktion von Google
- Forscher gehen davon aus, dass der Fehler Millionen von Geräten betreffen könnte
Google‚S Fast Pair-Funktion soll Ihnen den Anschluss Ihrer Kopfhörer und Lautsprecher ermöglichen Android oder ChromeOS-Gerät mit nur einem Fingertipp. Doch nun scheint es, dass der Preis für diese Bequemlichkeit eine Sicherheitslücke ist, die Millionen von Geräten für Hacker und Abhörer offen halten könnte.
Diese überraschende Entdeckung wurde von Sicherheitsforschern der Gruppe für Computersicherheit und industrielle Kryptographie der belgischen KU Leuven Universität gemacht (via Verdrahtet), die die Sammlung von Schwachstellen betiteln WhisperPair.
Dort ergab eine Untersuchung, dass Hacker genauso leicht auf 17 führende Kopfhörer- und Lautsprechermodelle zugreifen konnten wie normale Benutzer. Die Geräte werden von Unternehmen aus der gesamten Branche hergestellt, darunter Google, Jabra, JBL, LogitechMarshall, Nichts, OnePlus, SonySoundcore und Xiaomi.
In der Praxis könnte ein Eindringling möglicherweise die Macht über das Mikrofon und die Lautsprecher Ihres Geräts erlangen oder sogar Ihren Standort verfolgen. Das würde es ihnen ermöglichen, ihren eigenen Ton in Ihre Kopfhörer einzuspielen oder Ihre Mikrofone lautlos einzuschalten und Ihre Gespräche zu belauschen.
Wenn das Zielgerät mit dem von Google kompatibel ist Hub finden Mit einem Standortverfolgungssystem könnten sie Ihnen in der realen Welt folgen. Und so beängstigend das auch klingt, es ist nicht einmal das erste Mal In den Find Hub wurde eingebrochen durch gefährliche Hacker.
Schlimmer noch: Dies ist sogar dann möglich, wenn auf dem Gerät des Opfers iOS läuft und das Opfer noch nie zuvor ein Google-Produkt verwendet hat. Wenn Ihr Gerät noch nie mit einem Google-Konto verbunden war – was bei iPhone-Nutzern der Fall sein könnte – könnte ein Hacker es nicht nur ausspionieren, sondern es auch mit seinem eigenen Google-Konto koppeln.
Das liegt daran, dass das System von Google das erste Android-Gerät, das eine Verbindung zu Ziellautsprechern oder Kopfhörern herstellt, als Besitzer identifiziert – eine Schwachstelle, die es einem Hacker ermöglichen würde, Ihren Standort in seiner eigenen Find Hub-App zu verfolgen.
Wie funktioniert es?
Dazu muss sich ein Angreifer lediglich in Bluetooth-Reichweite befinden und die Modell-ID des Zielgeräts zur Hand haben. Ein Hacker könnte diese Modell-ID erhalten, wenn er dasselbe Gerätemodell wie das Ziel besitzt oder indem er eine öffentlich verfügbare Google-API abfragt.
WhisperPair funktioniert unter anderem durch einen Fehler im Multi-Geräte-Setup von Fast Pair. Laut Google sollte es nicht möglich sein, ein gekoppeltes Gerät mit einem zweiten Telefon oder Computer zu koppeln. Doch diese Einschränkung konnten die Forscher ganz einfach umgehen.
Da es keine Möglichkeit gibt, Fast Pair auf einem Android-Gerät zu deaktivieren, können Sie es nicht einfach ausschalten, um die Sicherheitslücke zu umgehen. Viele der betroffenen Unternehmen haben Patches bereitgestellt, um das Problem zu beheben. Die Sicherheitsforscher weisen jedoch darauf hin, dass für diese Korrekturen das Herunterladen der App eines Herstellers und der Erhalt eines Patches von dort erforderlich sind – was vielen Nutzern von Lautsprechern und Kopfhörern nicht bewusst ist, dass sie dies tun müssen.
Wenn Sie einen Lautsprecher oder Kopfhörer einer der betroffenen Firmen besitzen, ist es wichtig, deren App herunterzuladen und das Update so schnell wie möglich zu installieren. A WhisperPair-Website wurde erstellt, mit dem Sie eine Liste anfälliger Geräte durchsuchen können, um festzustellen, ob Sie wahrscheinlich betroffen sind. Überprüfen Sie dies daher unbedingt.
Die Forscher haben vorgeschlagen, dass Fast Pair die gewünschte Gerätekopplung kryptografisch erzwingen und es einem zweiten Benutzer nicht ermöglichen sollte, ohne Authentifizierung zu koppeln. Aber bis das passiert, ist die Aktualisierung Ihrer Geräte alles, was Sie tun können.
Folgen Sie TechRadar auf Google News Und Fügen Sie uns als bevorzugte Quelle hinzu um unsere Expertennachrichten, Rezensionen und Meinungen in Ihren Feeds zu erhalten. Klicken Sie unbedingt auf die Schaltfläche „Folgen“!
Und natürlich können Sie das auch Folgen Sie TechRadar auf TikTok für Neuigkeiten, Rezensionen, Unboxings in Videoform und erhalten Sie regelmäßige Updates von uns WhatsApp zu.
