ثغرة خطيرة في Bluetooth تهدد هواتفك وسماعاتك: احذر من اختراق WhisperPair!

منذ 4 ساعات

ثغرة “WhisperPair” تعرض أجهزة Fast Pair للقرصنة: اختراق مخفي على البلوتوث

بقلم: رايان ويتوام

تعد عملية الاقتران عبر البلوتوث عملية مزعجة في أغلب الأحيان، لكن Google Fast Pair جعلها شبه سلسة. ومع ذلك، كشف فريق من الباحثين الأمنيين في جامعة KU Leuven البلجيكية عن ثغرة جديدة تُسمى WhisperPair التي تسمح للمهاجم بالتحكم عن بُعد في الأجهزة المتوافقة مع Fast Pair والتجسس على مالك الجهاز.

Table of Contents

الثغرة وتأثيرها على الأجهزة المتأثرة:

تؤثر هذه الثغرة على أكثر من 12 جهازًا من 10 شركات مصنعة، بما في ذلك سوني، ناثينغ، جي بي إل، ون بلس، وجوجل نفسها. أجهزة Pixel Buds Pro 2 التابعة لجوجل هي إحدى الأجهزة التي تعرضت لهذه الثغرة. بمجرد أن يقوم المهاجم بالاستفادة من هذه الثغرة، يمكنه فرض اتصال مع الجهاز في غضون 10 ثوان فقط (على بعد يصل إلى 14 مترًا)، وهي المسافة التي تعد قريبة من الحد الأقصى لبروتوكول البلوتوث، مما يجعل من الصعب اكتشاف الهجوم.

ما يمكن أن يفعله المهاجم:

عند الاتصال بالجهاز، يمكن للمهاجم إجراء عدة إجراءات غير ضارة في البداية، مثل تعطيل تدفق الصوت أو تشغيل صوت من اختياره. لكن WhisperPair لا يتوقف عند ذلك، بل يمكن أن يسمح أيضًا بتتبع الموقع والوصول إلى الميكروفون، مما يعني أن المهاجم يمكنه الاستماع إلى المحادثات الخاصة أو تتبع مكانك عبر الجهاز المتصل.

سبب الثغرة:

ترجع الثغرة إلى تنفيذ غير مكتمل لمعيار Fast Pair في بعض الأجهزة. عند إرسال طلب اتصال باستخدام Fast Pair، من المفترض أن تقبل الأجهزة الطلب فقط عندما تكون في وضع الاقتران. ومع ذلك، تفشل بعض الأجهزة في هذه الفحص وتقبل الاتصال حتى إذا لم تكن في وضع الاقتران، مما يسمح للهاكر بفرض الاتصال عبر عملية الاقتران العادية للبلوتوث.

المشاكل في تحديثات الأمان:

من غير السهل تحديث الأجهزة الطرفية مثل السماعات أو الملحقات مثل الهواتف أو أجهزة الكمبيوتر. غالبًا ما لا يقوم الأشخاص بتثبيت تطبيقات الملحقات الخاصة بهم، وبالتالي لا يتم تحديث هذه الأجهزة. بالنسبة لـ WhisperPair، لا يوجد خيار لإيقاف وظيفة Fast Pair في الأجهزة المتأثرة، وكل ما يمكن فعله هو تثبيت تطبيق مرفق وانتظار التحديثات. بينما قدمت جوجل تحديثًا لأجهزتها المتأثرة، يُقال أن الباحثين قد وجدوا طريقة لتجاوز هذا التحديث.

كيف تحمي نفسك:

على الرغم من أن جوجل قالت إنها لم تتلق تقارير عن استغلال الثغرة في العالم الحقيقي، فإن الخطر يزداد بعد أن أصبح الأمر علنيًا. إذا كنت قلقًا من أن شخصًا ما قد استغل هذه الثغرة للوصول إلى سماعاتك، فإن الحل الوحيد هو إعادة ضبط المصنع لها. كما يُستحسن أن تحتفظ بالتطبيق الرسمي على جهازك لضمان حصولك على التحديثات فور توفرها.

خلاصة:

بينما يعد WhisperPair تهديدًا خطيرًا للأجهزة المتوافقة مع Fast Pair، فإن تحديثات الأمان قد تستغرق وقتًا أطول بسبب تعقيد تحديثات الأجهزة الطرفية. على الرغم من أن جوجل أصدرت تحديثات، إلا أن الثغرة تظل تهديدًا محتملًا.

لينك المقال الأصلي

https://arstechnica.com/gadgets/2026/01/researchers-reveal-whisperpair-attack-to-eavesdrop-on-google-fast-pair-headphones/

الوسوم