이제 모든 Bluetooth 오디오 장치를 업데이트할 좋은 시간입니다. 목요일에는 열광한 해커가 마이크를 포함한 장치에 액세스할 수 있는 17개 헤드폰 및 스피커 모델의 보안 결함에 대해 보고했습니다. 이 취약점은 Google의 원탭(빠른 쌍) 프로토콜의 잘못된 구현으로 인해 발생합니다.
보안 허점을 발견한 벨기에 KU Leuven University 컴퓨터 보안 및 산업 암호화 그룹의 보안 연구원들은 이 결함에 WhisperPair라는 이름을 붙였습니다. 그들은 Bluetooth 범위 내의 해커가 액세서리의 (쉽게 얻을 수 있는) 장치 모델 번호와 몇 초만 있으면 된다고 말합니다.
KU Leuven 연구원 Sayon Duttagupta는 "당신은 헤드폰을 끼고 거리를 걷고 있고 음악을 듣고 있습니다. 15초도 안 되어 당신의 장치를 탈취할 수 있습니다"라고 말했습니다. 열광한. "즉, 마이크를 켜고 주변 소리를 들을 수 있다는 뜻입니다. 오디오를 삽입할 수도 있고 위치를 추적할 수도 있습니다." 연구진은 지난 8월 구글에 위스퍼페어(WhisperPair)에 대해 통보했고, 회사는 그때부터 그들과 협력해 왔다.
빠른 페어링은 오디오 장치가 페어링 모드에 있는 동안에만 새 연결을 허용하도록 되어 있습니다. (이를 적절하게 구현했다면 이 결함을 예방할 수 있었을 것입니다.) 그러나 Google 대변인은 Engadget에 이 취약점은 일부 하드웨어 파트너가 Fast pair를 부적절하게 구현했기 때문에 발생했다고 밝혔습니다. 그러면 해커의 장치가 이미 장치와 페어링된 후 헤드폰이나 스피커와 페어링될 수 있습니다.
구글 대변인은 엔가젯(Engadget)에 보낸 성명에서 "사용자를 안전하게 보호하는 데 도움이 되는 취약성 보상 프로그램을 통해 보안 연구원과 협력해 주셔서 감사합니다"라고 밝혔습니다. "우리는 이러한 취약점을 해결하기 위해 연구원들과 협력했으며 이 보고서의 실험실 환경 외부에서 어떤 악용의 증거도 발견하지 못했습니다. 최고의 보안 관행으로 사용자는 헤드폰에서 최신 펌웨어 업데이트를 확인하는 것이 좋습니다. 우리는 지속적으로 빠른 페어링 및 Find Hub 보안을 평가하고 강화하고 있습니다."
연구원들은 결함이 어떻게 작동하는지 보여주기 위해 아래 비디오를 만들었습니다.
Engadget에 보낸 이메일에서 Google은 기기의 마이크나 오디오에 액세스하는 데 필요한 단계가 복잡하고 여러 단계를 포함한다고 밝혔습니다. 공격자는 또한 Bluetooth 범위 내에 있어야 합니다. 회사는 9월에 OEM 파트너에게 권장 수정 사항을 제공했다고 덧붙였습니다. Google은 또한 유효성 검사기 인증 도구와 인증 요구 사항을 업데이트했습니다.
연구원들은 어떤 경우에는 안드로이드 휴대폰을 사용하지 않는 사람들에게도 위험이 적용된다고 말합니다. 예를 들어 오디오 액세서리가 Google 계정과 페어링된 적이 없는 경우 해커는 WhisperPair를 사용하여 오디오 장치와 페어링할 뿐만 아니라 자신의 Google 계정에도 연결할 수 있습니다. 그런 다음 Google의 Find Hub 도구를 사용하여 기기(따라서 사용자)의 위치를 추적할 수 있습니다.
구글은 특정 시나리오를 해결하기 위해 Find Hub 네트워크에 대한 수정 사항을 출시했다고 밝혔습니다. 그러나 연구진은 이렇게 말했다. 열광한 패치가 출시된 후 몇 시간 내에 해결 방법을 찾았습니다.
영향을 받는 17개의 장치는 10개의 다른 회사에서 제조되었으며 모두 Google Fast pair 인증을 받았습니다. 여기에는 Sony, Jabra, JBL, Marshall, Xiaomi, Nothing, OnePlus, Soundcore, Logitech 및 Google이 포함됩니다. (Google은 영향을 받는 Pixel Buds가 이미 패치되어 보호되고 있다고 말합니다.) 연구원은 오디오 액세서리가 취약한지 확인할 수 있는 검색 도구를 게시했습니다.
원플러스는 엔가젯에 보낸 성명에서 이 문제를 조사 중이며 "사용자의 보안과 개인정보를 보호하기 위해 적절한 조치를 취할 것"이라고 밝혔습니다. 우리는 또한 다른 액세서리 제조업체에 연락했으며 답변을 받으면 이 이야기를 업데이트할 것입니다.
연구원들은 오디오 장치를 정기적으로 업데이트할 것을 권장합니다. 그러나 우려 사항 중 하나는 많은 사람들이 타사 제조업체의 앱(업데이트에 필요)을 설치하지 않아 장치가 취약해진다는 것입니다.
전체 보고서는 열광한 훨씬 더 자세한 내용이 있으며 읽어볼 가치가 있습니다.