La protección de los dispositivos de audio inalámbricos se encuentra bajo la lupa luego de que especialistas de la Universidad KU Leuven, con sede en Bélgica, alertaran sobre brechas de seguridad críticas. Según el informe, la tecnología Fast Pair de Google presenta vulnerabilidades que podrían poner en riesgo a millones de usuarios de auriculares Bluetooth a nivel global.
Los analistas han detectado fallos que facilitarían a terceros tomar el control de los equipos de manera remota. Además, estas fallas permiten el rastreo de la ubicación del dispositivo a distancias que alcanzan los 14 metros (46 pies).
El estudio, denominado WhisperPair, indica que los productos afectados pertenecen a firmas de renombre como Sony, Harman y la propia Google. Los investigadores advirtieron que “sus pruebas muestran que un pequeño complemento de usabilidad puede introducir riesgos de seguridad y privacidad a gran escala para cientos de millones de usuarios”.
El origen del problema en Fast Pair
Esta función fue lanzada originalmente por Google en el año 2017 con el objetivo de simplificar el emparejamiento entre periféricos Bluetooth y sistemas operativos como Android o Chrome OS con un solo toque. Ante el hallazgo, la empresa estadounidense reconoció la existencia de las deficiencias y comunicó la ejecución de parches de seguridad, específicamente para sus Pixel Buds Pro.
Un portavoz de Google declaró que “se han actualizado los sistemas para parte de sus propios dispositivos de audio y que algunas de las vulnerabilidades se originaron porque otras empresas no siguieron correctamente las especificaciones de Fast Pair”. Asimismo, se confirmó que las notificaciones técnicas a los fabricantes involucrados se enviaron en septiembre del año pasado.
La organización resaltó la importancia de trabajar de la mano con expertos a través de programas de recompensas por detección de fallas.
“Agradecemos la cooperación con especialistas en seguridad, lo que nos ayuda a mantener seguros a nuestros usuarios. Trabajamos junto a ellos para solucionar estas fallas y no hemos visto evidencia de explotación fuera del entorno controlado del laboratorio”
Manifestó la compañía en un comunicado oficial.
Recomendaciones y actualizaciones de seguridad
Como parte de las medidas preventivas, se insta a la comunidad a verificar que sus audífonos tengan instalado el firmware más reciente. Sobre el riesgo de geolocalización no autorizada, la firma aseguró lo siguiente: “Implementamos una solución para impedir la provisión de red Find Hub en este escenario, lo que resuelve por completo el riesgo potencial de localización en todos los dispositivos”.
Durante el transcurso del mes actual, se han lanzado dos actualizaciones críticas de seguridad: una orientada a Wear OS y otra específica para los teléfonos Google Pixel, las cuales incluyen detalles pormenorizados sobre los parches aplicados.
El colectivo WhisperPair adelantó que se encuentran preparando un artículo académico exhaustivo donde explicarán con mayor profundidad sus hallazgos técnicos. Mientras tanto, en su portal web oficial han habilitado una herramienta de consulta para que los dueños de dispositivos de audio verifiquen si sus modelos son vulnerables y obtengan guías sobre cómo actualizar su software.
Una de las mayores preocupaciones de los expertos es el desconocimiento general sobre la necesidad de actualizar el software interno de los periféricos, un factor que prolonga la exposición a riesgos de privacidad de manera innecesaria.
Debido a que la página de soporte oficial de Fast Pair no ofrece por ahora detalles extensos sobre estas vulnerabilidades, el equipo de investigación ha optado por difundir la situación en diversas plataformas, incluyendo videos explicativos en YouTube. Por su labor de detección, los académicos de la Universidad KU Leuven recibieron una compensación de 15.000 dólares por parte de Google, pactando una ventana de 150 días antes de la divulgación total de los detalles técnicos para permitir que los fabricantes implementen las soluciones necesarias.
Fuente: Infobae