- Penyerang dapat meretas mikrofon speaker Anda dan melacak lokasi Anda
- Kerentanannya ditemukan pada fitur Fast Pair Google
- Para peneliti mengatakan kelemahan tersebut dapat mempengaruhi jutaan perangkat
Google‘S Fitur Pasangan Cepat dimaksudkan untuk memungkinkan Anda menghubungkan headphone dan speaker ke Anda Android atau perangkat ChromeOS hanya dengan satu ketukan. Namun kini tampaknya harga dari kemudahan tersebut adalah kerentanan keamanan yang dapat menyebabkan jutaan perangkat terbuka bagi peretas dan penyadap.
Penemuan mengejutkan itu dibuat oleh peneliti keamanan di kelompok Keamanan Komputer dan Kriptografi Industri Universitas KU Leuven Belgia (melalui Kabel), yang men-dubbing kumpulan kerentanan Pasangan Bisikan.
Di sana, penyelidikan menemukan bahwa 17 model headphone dan speaker utama dapat diakses oleh peretas semudah pengguna biasa. Perangkat tersebut dibuat oleh perusahaan di seluruh industri, termasuk Google, Jabra, JBL, LogitechMarshall, Tidak Ada, OnePlus, SonySoundcore dan Xiaomi.
Dalam praktiknya, penyusup berpotensi mendapatkan kekuasaan atas mikrofon dan speaker perangkat Anda atau bahkan melacak lokasi Anda. Ini akan memungkinkan mereka memutar audionya sendiri ke earphone Anda atau menyalakan mikrofon secara diam-diam dan menguping percakapan Anda.
Jika perangkat target kompatibel dengan Google Temukan Hub sistem pelacakan lokasi, mereka dapat mengikuti Anda di dunia nyata. Dan meski terdengar menakutkan, ini bahkan bukan pertama kalinya Temukan Hub telah dibobol oleh hacker berbahaya.
Parahnya, hal ini bahkan bisa dilakukan jika perangkat korban menjalankan iOS dan target belum pernah menggunakan produk Google sebelumnya. Jika perangkat Anda belum pernah terhubung ke akun Google – yang mungkin terjadi jika Anda pengguna iPhone – peretas tidak hanya dapat mengintipnya tetapi juga memasangkannya ke akun Google mereka sendiri.
Itu karena sistem Google mengidentifikasi perangkat Android pertama yang terhubung ke speaker atau headphone target sebagai pemiliknya, sebuah kelemahan yang memungkinkan peretas melacak lokasi Anda di aplikasi Find Hub mereka sendiri.
Bagaimana cara kerjanya?
Untuk melakukan hal ini, yang dibutuhkan penyerang hanyalah berada dalam jangkauan Bluetooth dan memiliki ID model perangkat target. Peretas dapat memperoleh ID model ini jika mereka memiliki model perangkat yang sama dengan target atau dengan menanyakan Google API yang tersedia untuk umum.
Salah satu cara kerja WhisperPair adalah melalui kelemahan dalam pengaturan multi-perangkat Fast Pair. Google mengatakan bahwa perangkat yang dipasangkan tidak boleh dipasangkan ke ponsel atau komputer kedua. Namun para peneliti mampu melewati batasan ini dengan sangat mudah.
Karena tidak ada cara untuk menonaktifkan Fast Pair di perangkat Android, Anda tidak bisa mematikannya begitu saja untuk menghindari kerentanan. Banyak perusahaan yang terkena dampak telah meluncurkan tambalan dalam upaya untuk mengatasi masalah ini, namun peneliti keamanan menunjukkan bahwa untuk mendapatkan perbaikan ini, diperlukan pengunduhan aplikasi pabrikan dan mendapatkan tambalan dari sana – sesuatu yang tidak disadari oleh banyak pengguna speaker dan headphone.
Jika Anda memiliki speaker atau headphone dari salah satu perusahaan yang terkena dampak, penting untuk mengunduh aplikasi mereka dan menginstal perbaikannya sesegera mungkin. A Situs web WhisperPair telah dibuat yang memungkinkan Anda menelusuri daftar perangkat yang rentan untuk melihat apakah Anda mungkin terpengaruh, jadi pastikan untuk memeriksanya.
Para peneliti telah menyarankan bahwa Fast Pair harus menerapkan pemasangan perangkat yang Anda inginkan secara kriptografis dan tidak mengizinkan pengguna kedua untuk memasangkan tanpa otentikasi. Namun hingga hal itu terjadi, memperbarui perangkat Anda adalah satu-satunya hal yang dapat Anda lakukan.
Ikuti TechRadar di Google Berita Dan tambahkan kami sebagai sumber pilihan untuk mendapatkan berita, ulasan, dan opini pakar kami di feed Anda. Pastikan untuk mengklik tombol Ikuti!
Dan tentu saja Anda juga bisa Ikuti TechRadar di TikTok untuk berita, review, unboxing dalam bentuk video, dan dapatkan update rutin dari kami Ada apa juga.
