Через ваші бездротові навушники зловмисники можуть підслуховувати розмови

Фахівці в галузі кібербезпеки виявили серйозні вразливості у популярних бездротових навушниках від Sony, JBL, Marshall та інших брендів. Ці “проблеми” в захисті дозволяють злочинцям перетворити звичайні навушники на пристрої для прослуховування, повідомляє Ukr.Media.

Що сталося

Експерти німецької компанії ERNW виявили три критичні вразливості в Bluetooth-чіпах виробника Airoha. Ці чіпи широко використовуються в бездротових навушниках, колонках та мікрофонах багатьох відомих брендів.

На даний момент проблему підтверджено у 29 моделях пристроїв від Beyerdynamic, Bose, Sony, Marshall, Jabra, JBL, Jlab, EarisMax, MoerLabs та Teufel.

Найпопулярніші моделі, які підлягають ризику:

Sony (найбільше постраждала):

• Навушники: WH-1000XM4/XM5/XM6, WH-CH520, ULT Wear, CH-720N;
• Вкладиші: WF-1000XM3/XM4/XM5, Link Buds S, WF-C500, WI-C100;

Marshall: MAJOR V, MINOR IV, MOTIF II, а також колонки ACTON III, STANMORE III, WOBURN III;

JBL: Endurance Race 2, Live Buds 3;

Bose: QuietComfort Earbuds;

Jabra: Elite 8 Active;

Це лише частина з понад 100 типів пристроїв, які можуть бути вразливими. Багато виробників навіть не усвідомлюють, що використовують чіпи Airoha.

Як функціонує атака

Головна небезпека полягає в тому, що зловмисник може без дозволу підключитися до ваших навушників. Через недоліки в системі перевірки (так звана “відсутність аутентифікації”) хакер може:

• Перехоплювати всю інформацію, що передається між телефоном і навушниками, включаючи голос під час розмов;
• Втручатися в з’єднання та надсилати команди на ваш смартфон;
• Потенційно отримувати доступ до списку контактів.

Важливо: для здійснення такої атаки зловмисник має бути поруч з вами — на відстані до 20 метрів. Bluetooth не працює на великі відстані, тому “прослуховувати” вас з іншого міста неможливо.

Наскільки це небезпечно

Експерти оцінили ці вразливості від 6,7 до 7,5 балів з 10 можливих. Це середній та високий рівень небезпеки, але не критичний.

Для звичайних користувачів ризик не такий великий, як може здатися. По-перше, атакувати можна лише з близької відстані. По-друге, для здійснення такого зламу потрібні спеціальні знання та обладнання.

Найбільша загроза існує для осіб, які можуть стати мішенню цілеспрямованих атак — бізнесменів, політиків, журналістів. У публічних місцях ризик випадкової прослушки мінімальний.

Які дії вживають виробники

Компанія Airoha вже усвідомлює проблему і підготувала виправлення для своїх чіпів. Виробники навушників (Sony, JBL та інші) отримали ці “патчі” і готують оновлення прошивки для своїх пристроїв.

На даний момент терміни виходу оновлень не оголошені, але вони мають з’явитися найближчим часом.

Що слід робити користувачам

Ця ситуація ілюструє типову проблему сучасних “розумних” пристроїв: виробники часто зосереджуються на функціональності, забуваючи про безпеку. Відсутність належної перевірки з’єднань на протокольному рівні — це основна помилка, яку можна було уникнути.

Для індустрії це нагад

Джерело: ukr.media