- Una falla de seguridad en 17 modelos de audio afecta al protocolo Fast Pair de Google.
- Los hackers podrían acceder a micrófonos y datos de ubicación de los dispositivos vulnerables.
- Google afirma que los dispositivos afectados ya han sido parcheados y no hay evidencia de explotación fuera de laboratorio.
Una vulnerabilidad descubierta por investigadores de la Universidad KU Leuven de Bélgica, denominada WhisperPair, podría permitir a hackers acceder a los micrófonos y datos de ubicación de 17 modelos de auriculares y altavoces. La falla reside en una implementación defectuosa del protocolo Fast Pair de Google, que permite emparejar dispositivos de audio con un solo toque. Los atacantes, situados dentro del alcance de Bluetooth y con el número de modelo del accesorio, podrían secuestrar el dispositivo en cuestión de segundos, activando el micrófono o inyectando audio.
Detalles de la vulnerabilidad WhisperPair
Los investigadores notificaron a Google sobre WhisperPair en agosto, y la compañía ha colaborado con ellos para solucionar el problema. La vulnerabilidad se produce porque el protocolo Fast Pair, que debería permitir solo nuevas conexiones cuando el dispositivo está en modo de emparejamiento, fue implementado incorrectamente por algunos socios de hardware de Google. Esto permite que un dispositivo de un atacante se empareje con los auriculares o altavoces del usuario incluso después de que ya estén conectados a su propio dispositivo. Google ha declarado que no ha visto evidencia de explotación fuera del entorno de laboratorio y recomienda a los usuarios mantener sus dispositivos actualizados con el último firmware.
Riesgos y alcance de la falla
El riesgo de esta falla podría extenderse incluso a usuarios que no utilizan teléfonos Android. Si un accesorio de audio nunca ha sido emparejado con una cuenta de Google, un hacker podría usar WhisperPair para emparejarlo con su propia cuenta y, posteriormente, utilizar la herramienta Find Hub de Google para rastrear la ubicación del dispositivo. Esta situación resalta la importancia de la seguridad de los dispositivos, un tema que Google aborda constantemente. Para saber más sobre las medidas que Google toma para proteger a sus usuarios, puedes leer sobre cómo Google desmiente el uso de correos de Gmail para entrenar su IA aquí. Google ha implementado una solución en su red Find Hub para este escenario específico, aunque los investigadores afirman haber encontrado una solución alternativa poco después del despliegue del parche. La lista de dispositivos afectados incluye marcas como Sony, Jabra, JBL, Marshall, Xiaomi, Nothing, OnePlus, Soundcore, Logitech y Google.
Medidas de seguridad y recomendaciones
Google ha trabajado con sus socios OEM para proporcionar correcciones recomendadas en septiembre y ha actualizado su herramienta de certificación y los requisitos de certificación. La compañía reitera la importancia de las actualizaciones de firmware para la seguridad de los dispositivos de audio. Es crucial que los usuarios mantengan sus dispositivos actualizados. Esto también aplica a los dispositivos móviles, donde Apple lanza iOS 26.2 con mejoras en Podcasts y seguridad aquí, demostrando la importancia de las actualizaciones constantes en el panorama digital. Los investigadores han publicado una herramienta de búsqueda para que los usuarios puedan verificar si sus accesorios de audio son vulnerables, ya que muchas personas no instalan las aplicaciones de terceros necesarias para las actualizaciones, lo que podría dejar sus dispositivos expuestos.