Det skulle jo være så smart, men nå viser det seg at det kan utgjøre en alvorlig sikkerhetsrisiko.
Vi snakker om Fast Pair-funksjonen til Google, som i utgangspunktet er superpraktisk. Funksjonen gjør det lett å koble hodesett eller andre Bluetooth-enheter til mobil, nettbrett eller pc.
Så i stedet for å fikle med innstillinger eller slite med tilkoblinger som ikke virker, er det bare å holde hodetelefoner og Android-mobil nær hverandre for å koble dem sammen.
Mange produsenter er berørt
Dessverre er ikke alt fryd og gammen. Belgiske forskere har nemlig påvist at hackere kan utnytte Fast Pair-funksjonen for å få tilgang til hodetelefonene som brukes av offeret.
Ifølge forskerne gjelder dette en rekke produkter fra store produsenter som Sony, Jabra, JBL, Marshall, Nothing, OnePlus, Soundcore, Logitech og Googles egne enheter. Disse produktene er berørt av sikkerhetshullet, som forskerne kaller WhisperPair.
Problemet er at det er mulig for andre å koble seg til hodetelefonene uten brukerens samtykke.
Kan koble seg til uten at du vet det
For å utnytte sårbarheten må angriperen befinne seg innenfor en radius på omtrent 14 meter. Forskere har vist at det er mulig å bruke en datamaskin til å sende en paringsforespørsel til hodesettet og tvinge dem til å koble seg til angriperens enhet – uten brukerens viten eller godkjenning. Dette skyldes svakheter i sikkerhetsprotokollen som brukes av Fast Pair.
Når paringen er fullført, får angriperen full kontroll over enheten. Det kan blant annet utnyttes til å spille av høye lyder, ta opp samtaler eller, i verste fall, finne ut nøyaktig hvor brukeren befinner seg.
Det siste er mulig fordi mange hodetelefoner er registrert i Googles Find Hub-nettverk, et verktøy som hjelper til med å finne mistede enheter. En angriper kan potensielt få tilgang til disse dataene og se hvor offeret befinner seg.
Hvordan beskytte deg
Selv om Fast Pair-funksjonen bare er tilgjengelig på Android, kan sikkerhetshullet også påvirke iPhone-brukere, hvis de bruker hodesett som støtter funksjonen. Har du enheter som støtter Fast Pair, er det en reell risiko for å bli avlyttet eller overvåket, og det er viktig å ta forholdsregler.
Ifølge de belgiske forskerne er det opp til produsentene å tette sikkerhetshullet. Derfor bør du sjekke om det finnes en oppdatering for hodesettet. Det gjøres som regel via produsentens mobilapp, der du kan administrere innstillinger og oppdatere fastvare.
Koble derfor hodesettet til mobilen, åpne appen – for eksempel fra Sony eller Jabra – og se etter oppdateringer av program- eller fastvare.
Sjekk om enhetene er berørt
Hvis du er usikker på om enhetene dine støtter Fast Pair og derfor er sårbare, kan du gå til denne nettsiden.
Forskerne bak nettstedet har testet en rekke hodesett og angitt hvilke modeller som er berørt. Du kan også søke etter enheter som ikke er testet, for raskt å finne ut om de har Fast Pair-funksjonen.
Denne skribenten har for eksempel sjekket sine egne hodetelefoner, et par Beats Studio Buds, som ennå ikke er testet, men som har Fast Pair, som det fremgår av bildet nedenfor.
De bør derfor oppdateres for å redusere risikoen.
Forskerne bak oppdagelsen av sikkerhetsproblemet har opprettet en nettside der du kan søke opp en rekke hodesett og se om de er berørt.