كشف باحثون أمنيون من جامعة KU Leuven عن ثغرة أمنية خطيرة أطلقوا عليها اسم “WhisperPair”، تؤثر على مئات الملايين من الملحقات الصوتية، التي تدعم بروتوكول Google Fast Pair.
تسمح هذه الثغرة للمهاجمين في نطاق Bluetooth باختطاف سماعات الأذن ومكبرات الصوت بصمت، حتى أثناء استخدامها من قبل المالك الأصلي. تكمن المشكلة في سوء تنفيذ الشركات المصنعة لمواصفات Fast Pair، حيث تفشل الأجهزة في فرض “وضع الاقتران” اليدوي وتظل مفتوحة لطلبات الاتصال الجديدة في أي وقت، مما يفتح الباب للتجسس الصوتي وتتبع الموقع الجغرافي.
وفقًا لموقع The Register، لا تعد هذه الثغرة عيبًا في بروتوكول Bluetooth نفسه بل في كيفية تطبيق الشركات المصنعة لتعليمات Google. بمجرد اقتران المهاجم بالجهاز، يمكنه حقن أصوات غريبة، أو التحكم في مستوى الصوت، أو حتى تفعيل الميكروفون في بعض الحالات. والأخطر من ذلك هو إمكانية تسجيل الملحق في حساب “Find My Device” الخاص بالمهاجم قبل أن يفعل المالك ذلك، مما يتيح تتبع تحركات الضحية باستمرار عبر شبكة الموقع العالمية التابعة لـ Google.
أمن سلاسل التوريد والملحقات الرخيصة
تمثل ثغرة WhisperPair تحديًا هائلاً للأمن السيبراني في عصر إنترنت الأشياء، حيث تفتقر العديد من الأجهزة الرخيصة إلى آليات تحديث البرامج الثابتة (Firmware). حتى لو قامت Google بتصحيح البروتوكول، فإن ملايين الأجهزة الموجودة في الأسواق قد تظل عرضة للاختراق للأبد بسبب غياب ثقافة التحديث الأمني لدى مصنعي الملحقات الطرفية.
مخاطر تتبع الموقع المادي عبر الشبكات السحابية
إن القدرة على تسجيل جهاز الضحية في حساب المهاجم على شبكة “Find My Device” تحول الملحق الشخصي إلى أداة تتبع مادية. هذا النوع من الهجمات يتجاوز سرقة البيانات الرقمية إلى تهديد السلامة الشخصية، مما يستدعي تدخلاً تنظيميًا لفرض معايير أمنية صارمة على جميع الأجهزة التي تتصل بالهواتف الذكية عبر بروتوكولات الاقتران السريع تمامًا.