- Los atacantes pueden piratear los micrófonos de tus altavoces y rastrear tu ubicación.
- La vulnerabilidad se encuentra en la función Fast Pair de Google.
- Los investigadores afirman que este fallo podría afectar a millones de dispositivos.
La función Fast Pair de Google está diseñada para permitirte conectar tus audífonos y altavoces a tu dispositivo Android o ChromeOS con solo un toque. Sin embargo, ahora parece que el precio de esa comodidad es una vulnerabilidad de seguridad que podría dejar a millones de dispositivos expuestos a hackers y espías.
Este sorprendente descubrimiento lo han realizado investigadores de seguridad del grupo de Seguridad Informática y Criptografía Industrial de la Universidad KU Leuven de Bélgica (a través de Wired), que han bautizado el conjunto de vulnerabilidades como WhisperPair.
Una investigación ha revelado que los hackers pueden acceder a 17 modelos principales de audífonos y altavoces con la misma facilidad que los usuarios normales. Los dispositivos están fabricados por empresas de todo el sector, entre las que se incluyen Google, Jabra, JBL, Logitech, Marshall, Nothing, OnePlus, Sony, Soundcore y Xiaomi.
En la práctica, un intruso podría potencialmente obtener control sobre el micrófono y los altavoces de su dispositivo o incluso rastrear su ubicación. Eso les permitiría reproducir su propio audio en sus audífonos o encender silenciosamente sus micrófonos y espiar sus conversaciones.
Si el dispositivo objetivo es compatible con el sistema de rastreo de ubicación Find Hub de Google, podrían seguirte en el mundo real. Y por muy aterrador que parezca, ni siquiera es la primera vez que Find Hub ha sido pirateado por peligrosos hackers.
Peor aún, esto se puede hacer incluso si el dispositivo de la víctima funciona con iOS y el objetivo nunca ha utilizado un producto de Google anteriormente. Si tu dispositivo nunca se ha conectado a una cuenta de Google, lo que podría ser el caso si eres usuario de iPhone, un hacker no solo podría espiarlo, sino también vincularlo a su propia cuenta de Google.
Esto se debe a que el sistema de Google identifica como propietario al primer dispositivo Android que se conecta a los altavoces o audífonos del objetivo, una vulnerabilidad que permitiría a un hacker rastrear su ubicación en su propia aplicación Find Hub.
¿Cómo funciona?
Para ello, lo único que necesita el atacante es estar dentro del alcance del Bluetooth y tener a mano el ID del modelo del dispositivo objetivo. Un hacker podría obtener este ID si tiene el mismo modelo de dispositivo que el objetivo o consultando una API de Google disponible públicamente.
Una de las formas en que funciona WhisperPair es a través de un fallo en la configuración multidispositivo de Fast Pair. Google afirma que un dispositivo emparejado no debería poder emparejarse con un segundo teléfono u ordenador. Sin embargo, los investigadores pudieron eludir esta limitación muy fácilmente.
Dado que no hay forma de desactivar Fast Pair en un dispositivo Android, no es posible simplemente desactivarlo para evitar la vulnerabilidad. Muchas de las empresas afectadas han lanzado parches para intentar solucionar el problema, pero los investigadores de seguridad señalan que para obtener estas correcciones es necesario descargar la aplicación del fabricante y obtener el parche desde allí, algo que muchos usuarios de altavoces y audífonos no saben que deben hacer.
Si tienes un altavoz o unos audífonos de una de las empresas afectadas, es importante que descargues su aplicación e instales la corrección lo antes posible. Se ha creado un sitio web, WhisperPair, que le permite buscar en una lista de dispositivos vulnerables para ver si es probable que se vea afectado, así que asegúrese de consultarlo.
Los investigadores han sugerido que Fast Pair debería aplicar criptográficamente el emparejamiento de dispositivos deseado y no permitir que un segundo usuario se empareje sin autenticación. Pero hasta que eso suceda, lo único que puedes hacer es actualizar tus dispositivos.
Sigue a TechRadar en Google News y añádenos como fuente preferida para recibir nuestras noticias, reseñas y opiniones de expertos en tus feeds. ¡Asegúrate de hacer clic en el botón "Seguir"!
Y, por supuesto, también puedes seguir a TechRadar en TikTok para recibir noticias, reseñas y unboxings en formato de vídeo, así como actualizaciones periódicas a través de WhatsApp.
