Bluetooth 장치를 페어링하는 것은 어려울 수 있지만 Google Fast pair를 사용하면 거의 원활하게 수행할 수 있습니다. 불행하게도 헤드폰이 원격 해킹에 취약해질 수도 있습니다. 벨기에 KU Leuven University의 보안 연구원 팀은 공격자가 소유자를 염탐하기 위해 Fast pair 지원 장치를 하이재킹할 수 있는 WhisperPair라는 취약점을 공개했습니다.
빠른 페어링은 널리 사용되며 Google 제품을 사용한 적이 없더라도 기기가 취약할 수 있습니다. 이 버그는 Sony, Nothing, JBL, OnePlus 및 Google을 포함한 10개 제조업체의 12개 이상의 장치에 영향을 미칩니다. Google은 결함을 인정하고 파트너에게 위험을 알렸지만 액세서리에 대한 패치를 만드는 것은 개별 회사의 몫입니다. 취약한 장치의 전체 목록은 프로젝트 웹사이트에서 확인할 수 있습니다.
연구원들은 최대 14미터 범위에서 취약한 빠른 쌍 장치의 제어권을 얻는 데 단 몇 분(평균 10초)밖에 걸리지 않는다고 말합니다. 이는 Bluetooth 프로토콜의 한계에 가까우며, 헤드폰을 해킹하는 동안 대상이 몰래 돌아다니는 사람을 알아차리지 못할 만큼 충분히 먼 수준입니다.
공격자가 취약한 오디오 장치에 강제로 연결하면 오디오 스트림을 중단하거나 원하는 오디오를 재생하는 등 비교적 무해한 작업을 수행할 수 있습니다. 그러나 WhisperPair는 위치 추적 및 마이크 액세스도 허용합니다. 따라서 공격자는 귀하의 대화를 듣고 주머니에 있는 Bluetooth 장치를 통해 귀하를 따라다닐 수 있습니다. 연구원들은 WhisperPair가 의심하지 않는 사람들을 감시하는 데 어떻게 사용될 수 있는지 보여주는 유용한 비디오 드라마화(아래)를 만들었습니다.