En la era de la conectividad Bluetooh, la facilidad para emparejar dispositivos ha traído consigo preocupaciones de seguridad. Recientemente, se han descubierto vulnerabilidades conocidas como WhisperPair, que afectan a una amplia gama de accesorios de audio que utilizan el protocolo Fast Pair de Google. Este problema permite a los atacantes tomar control de los dispositivos, interferir con su funcionamiento y, lo más alarmante, escuchar conversaciones privadas sin el consentimiento del usuario.
Investigadores de la Universidad KU Leuven en Bélgica han identificado estos problemas en el mecanismo de emparejamiento de dispositivos de audio. Surge así la inquietud sobre la privacidad y la seguridad en el uso de estos equipos. En este artículo, analizaremos cómo funciona esta vulnerabilidad, los dispositivos afectados y las medidas que puedes tomar para protegerte.
¿Qué es WhisperPair y cómo funciona?
El término WhisperPair se refiere a un conjunto de fallas en la implementación del protocolo Fast Pair, que permite a los dispositivos de audio conectarse rápidamente con smartphones y otros dispositivos.
Según los investigadores, el problema radica en que muchos accesorios de audio no ignoran correctamente las solicitudes de emparejamiento cuando no están en modo de emparejamiento. Esto permite que dispositivos no autorizados inicien el proceso sin que el usuario lo sepa.
Detalles técnicos de la vulnerabilidad
Cuando un dispositivo, denominado seeker (buscador), envía una solicitud de emparejamiento a un provider (proveedor) como unos auriculares, el protocolo especifica que el accesorio debe rechazar la solicitud si no está en modo de emparejamiento.
Sin embargo, muchos dispositivos no realizan esta verificación de manera efectiva, lo que significa que un atacante puede interceptar y finalizar el proceso de emparejamiento, obteniendo control total sobre el dispositivo.
Una vez que el atacante logra emparejarse con un dispositivo vulnerable, puede manipular funciones como el volumen y, aún más preocupante, utilizar el micrófono integrado para grabar conversaciones. La capacidad de realizar estos ataques se ha probado a distancias de hasta 14 metros, lo que los hace particularmente peligrosos en entornos públicos.
Dispositivos afectados y su alcance
Los dispositivos de audio de diversas marcas, incluyendo Google, Sony y Anker, se encuentran en la lista de productos vulnerables. No se limita únicamente a los usuarios de Android, ya que aquellos que utilizan iPhones también están en riesgo si poseen accesorios afectados. La investigación inicial reveló que más de 17 de los 25 dispositivos probados resultaron ser susceptibles a estos ataques.
Riesgos asociados con el uso de Find Hub
Un aspecto alarmante de la vulnerabilidad es que, si un dispositivo no ha sido registrado previamente en la red Find Hub de Google, un atacante puede registrarlo bajo su propia cuenta, permitiéndole rastrear la ubicación del usuario. Aunque los usuarios pueden recibir una notificación de seguimiento no deseada, esta alerta puede ser ignorada si el aviso muestra el dispositivo del propio usuario, lo que genera confusión y desconfianza.
Medidas de protección y actualizaciones necesarias
Ante esta amenaza, es crucial que los usuarios de dispositivos de audio verifiquen si sus equipos son vulnerables a WhisperPair. Los investigadores han publicado una base de datos accesible donde puedes consultar si tu dispositivo está en riesgo. En caso de que lo esté, es fundamental buscar actualizaciones de firmware proporcionadas por los fabricantes y asegurarse de que tu dispositivo esté al día.
Si bien algunos fabricantes han lanzado parches de seguridad, no todos los dispositivos han sido actualizados. Si tu accesorio soporta Find Hub pero no se ha emparejado con un dispositivo Android, es recomendable actuar con rapidez y aplicar las actualizaciones tan pronto como estén disponibles.
La única defensa efectiva contra los ataques WhisperPair es instalar los parches de seguridad proporcionados por los fabricantes. Desactivar el protocolo Fast Pair en tu smartphone no elimina el riesgo, ya que este no puede ser deshabilitado en los accesorios mismos. Mantente informado y protege tu privacidad.
