Förra veckan tillkännagavs en ny sårbarhet i Bluetooth-hörlurar från flera stora tillverkare, däribland Sony, JBL, Jabra och Marshall. De berörda hörlursmodellerna har alla stöd för Googles Fast Pair-teknik, och tillverkarna har implementerat tekniken på ett felaktigt vis. Det rör sig alltså inte om någon sårbarhet i själva Bluetooth-protokollet.
Sårbarheten har fått namnet Whisperpair. Namnet anspelar på konsekvenserna. En angripare som befinner sig inom Bluetooth-räckvidd kan i tysthet koppla ihop ovetande användares hörlurar med sin egen dator. Därigenom kan angriparen avlyssna vad som sägs.
Whisperpair-sårbarheten förvärras av att flera berörda hörlursmodeller har stöd för Googles Find Hub-nätverk (används för att hitta borttappade produkter). Sådana hörlurar måste kopplas till en Android-mobil för att registreras på mobilägarens Google-konto. Det är ett problem för Iphone-ägare som har köpt sårbara och Find Hub-kompatibla hörlurar. Deras hörlurar lämnas kvar i registrerbart läge.
Whisperpair-sårbarheten gör att en angripare (inom Bluetooth-avstånd) kan koppla oregistrerade hörlurar till sitt eget Google-konto och framgent spåra var ägarna befinner sig.
För att lösa problemet måste hörlurstillverkarna släppa firmware-uppgraderingar till de berörda modellerna. Hörlursägarna måste därefter också installera firmware-uppgraderingarna, vilket i sin tur förutsätter att ägarna har laddat ned de tillhörande apparna. Detta innebär att många hörlurar kommer att förbli sårbara.
I veckans poddavsnitt pratar Peter och Nikka om problemet med Whisperpair-sårbarheten. Den danska polisen ansåg att sårbarheten var så allvarlig att de rekommenderade alla anställda att stänga av Bluetooth på sina mobiler. Nikka förklarar varför det, i hans mening, är helt fel rekommendation och varför det ändå inte löser problemet.
Bli säker-podden instiftar däremot en annan rekommendation: välj Bluetooth-hörlurar som har en app för din mobils operativsystem.
Kapitel i avsnittet
- 00.00 Inledning
- 01.02 OpenAI testar annonser i ChatGPT
- 06.34 Facebook-användare hade @facebook.com-adresser
- 10.12 Sårbarhet i Copilot kunde läcka användardata
- 16.45 Användare kan spåras via ny sårbarhet i Bluetooth-hörlurar
Omtalat i avsnittet
- OpenAI:s X-inlägg om annonser i ChatGPT
- 9to5macs artikel om försämrad annonsmärkning i App Store
- Bli säker-poddinslaget om den falska Microsoft Authenticator-appen
- Bli säker-poddinslaget med Laban Sköllermark
- Facebooks blogginlägg om @facebook.com-mejladresser (2010)
- Varonis artikel om Copilot-sårbarheten Reprompt
- Radars artikel om polisens Bluetooth-avrådan
- Bli säker-poddinslaget om Airoha-sårbarheten
- Listan över hörlurar som påverkas av Airoha-sårbarheten
- Artikeln om Whisperpair-sårbarheten
- Listan över hörlurar som påverkas av Whisperpair-sårbarheten
- New York Times artikel om Whisperpair-sårbarheten
- Apples notis om sårbarheten i Airpods (2024)
Kommentarer
Delta i diskussionen. Logga in med ditt befintliga konto på Nikka Systems Academy eller skapa ett nytt konto helt gratis.