Un fallo en la forma en que 17 modelos de auriculares y altavoces utilizan el protocolo Bluetooth de Google de emparejamiento rápido con un solo toque ha dejado los dispositivos expuestos a escuchas y acosadores.
Google diseñó el protocolo inalámbrico conocido como Fast Pair para optimizar las conexiones ‘ultraconvenientes’. Permite a los usuarios conectar sus gadgets Bluetooth con dispositivos Android y ChromeOS con un solo toque. Ahora, un grupo de investigadores ha descubierto que el mismo protocolo también permite a los hackers conectarse con la misma comodidad a cientos de millones de auriculares y altavoces. El resultado es una enorme colección de dispositivos de audio compatibles con Fast Pair que permiten a cualquier espía o acosador tomar el control de altavoces y micrófonos o, en algunos casos, rastrear la ubicación de un objetivo involuntario, incluso si la víctima es un usuario de iPhone que nunca ha tenido un producto de Google.
Hoy, investigadores de seguridad del grupo de Seguridad Informática y Criptografía Industrial de la Universidad KU Leuven de Bélgica revelan una colección de vulnerabilidades que han encontrado en 17 accesorios de audio que utilizan el protocolo Fast Pair de Google y que comercializan 10 empresas diferentes: Sony, Jabra, JBL, Marshall, Xiaomi, Nada, OnePlus, Soundcore, Logitech y la propia Google. Las técnicas de pirateo demostradas por los investigadores, a las que denominan colectivamente WhisperPair, permitirían a cualquiera que se encontrara dentro del alcance Bluetooth de esos dispositivos (cerca de 15 metros según sus pruebas) emparejarse silenciosamente con periféricos de audio y secuestrarlos.
Dependiendo del accesorio, un hacker podría tomar el control o interrumpir transmisiones de audio o conversaciones telefónicas, reproducir su propio audio a través de los auriculares o altavoces de la víctima al volumen que eligiera, o tomar el control de los micrófonos de forma indetectable para escuchar el entorno de la víctima. Peor aún, algunos dispositivos vendidos por Google y Sony que son compatibles con la función de seguimiento de geolocalización de dispositivos de Google, Find Hub, también podrían ser explotados para permitir el acecho sigiloso de alta resolución.
Audífonos secuestrados
“Vas por la calle con los auriculares puestos y escuchando música. En menos de 15 segundos, podemos secuestrar tu dispositivo”, explica Sayon Duttagupta, investigador de KU Leuven. “Lo que significa que puedo encender el micrófono y escuchar el sonido ambiente. Puedo inyectar audio. Puedo rastrear tu ubicación”.
“El atacante ahora es dueño de este dispositivo”, añade el investigador Nikola Antonijević, “y básicamente puede hacer lo que quiera con él”.
Los investigadores demuestran sus técnicas de pirateo y rastreo en el siguiente video (en inglés):
La respuesta de Google
Google ha publicado hoy un aviso de seguridad en coordinación con los investigadores, en el que reconoce sus hallazgos y describe sus esfuerzos para solucionar el problema. Desde que los investigadores revelaron por primera vez su trabajo a la empresa en agosto, Google parece haber alertado al menos a algunos de los proveedores de dispositivos vulnerables, muchos de los cuales han puesto a disposición actualizaciones de seguridad. Sin embargo, dado que muy pocos consumidores se plantean actualizar el software de dispositivos del internet de las cosas como audífonos o altavoces, los investigadores de KU Leuven advierten que las vulnerabilidades de WhisperPair pueden persistir en accesorios vulnerables durante meses o años.
En la mayoría de los casos, la aplicación de esas actualizaciones requiere la instalación de una aplicación del fabricante en el teléfono o la computadora, un paso que la mayoría de los usuarios nunca da y que a menudo ni siquiera sabe que es necesario. “Si no tienes la aplicación de Sony, nunca sabrás que hay una actualización de software para tus auriculares Sony”, asegura Seppe Wyns, investigador de la KU Leuven. “Y entonces seguirás siendo vulnerable”.
Cuando WIRED se puso en contacto con Google, un portavoz respondió en un comunicado dando las gracias a los investigadores y confirmando sus hallazgos sobre WhisperPair. “Hemos trabajado con los investigadores para solucionar estas vulnerabilidades y no hemos encontrado pruebas de que se hayan explotado fuera del entorno de laboratorio en el que se realizó este informe”, escribe el portavoz. “Estamos constantemente evaluando y mejorando la seguridad de Fast Pair y Find Hub”.
Lo más visto
- CienciaLa física detrás del cuádruple axel, el salto más difícil del patinaje artísticoPor Marta Musso
- CulturaLa historia detrás del sorprendente salto del patinador sobre hielo Ilia MalininPor Paolo Armelli
- SeguridadEl cierre aéreo en El Paso mostró la falta de comunicación entre Migración y las agencias de EE UUPor Lily Hay Newman
- PoliticaQué dice la reforma laboral de Milei que amenaza con desatar una nueva huelga generalPor Fernanda González
Publicidad
Google también señaló que ha publicado correcciones para sus propios accesorios de audio vulnerables y una actualización de Find Hub en Android que, según la compañía, evita que los actores deshonestos utilicen WhisperPair para rastrear a las víctimas. Sin embargo, pocas horas después de que Google informara a los investigadores sobre la corrección, estos dijeron a WIRED que habían encontrado una forma de eludir el parche y seguían siendo capaces de llevar a cabo su técnica de rastreo de Find Hub. Google no ha respondido inmediatamente a la solicitud de WIRED de que comentara la forma en que los investigadores habían sorteado el parche.
En cuanto a la afirmación de Google de que no había visto la explotación de la vulnerabilidad WhisperPair en la naturaleza, los investigadores señalan que Google no tendría forma de observar el secuestro de accesorios de audio que no implicaran dispositivos de Google.
¿Qué dicen las otras marcas?
WIRED también se puso en contacto con las otras nueve empresas cuyos accesorios los investigadores de KU Leuven determinaron que eran vulnerables. Xiaomi respondió en un comunicado que “ha estado en comunicación con Google y otras partes relevantes y está trabajando con los proveedores para desplegar actualizaciones [over-the-air]” para su marca de auriculares Redmi. JBL, que es propiedad de Harman Audio, declaró en un comunicado que “Google ha advertido a JBL sobre posibles vulnerabilidades de seguridad que podrían afectar a dispositivos como auriculares y altavoces. Hemos recibido los parches de seguridad de Google y el software se actualizará a través de las apps de JBL en las próximas semanas.”
Jabra respondió en un comunicado que había enviado parches para las vulnerabilidades de Bluetooth en el chipset Airoha que utiliza en sus accesorios en junio y julio. Sin embargo, dado que los investigadores no informaron a nadie de sus hallazgos hasta agosto, sugieren que Jabra puede estar confundiendo su trabajo con hallazgos no relacionados de junio.
Logitech ha dicho que ha “integrado un parche de firmware para las próximas unidades de producción” y señala que su dispositivo afectado, el altavoz Wonderboom 4, no tiene un micrófono que pueda utilizarse para espiar. OnePlus ha declarado a WIRED que la empresa está estudiando el problema. Marshall, Nothing y Sony no respondieron a la solicitud de comentarios de WIRED.
¿Cómo funciona un posible ataque?
El ataque WhisperPair de los investigadores se aprovecha de una serie de fallos en la implementación de Fast Pair en los dispositivos analizados por el equipo. Fundamentalmente, la especificación de Google para los dispositivos Fast Pair establece que no deberían poder emparejarse con una nueva computadora o teléfono mientras ya están emparejados. Pero en el caso de los 17 dispositivos vulnerables, cualquiera puede emparejarse silenciosamente con el dispositivo de destino, aunque ya esté emparejado.
Utilizando las vulnerabilidades de emparejamiento rápido descubiertas por los investigadores, un atacante solo tendría que estar dentro del alcance de Bluetooth y obtener un valor denominado ID de modelo que es específico del modelo del dispositivo de destino. Los investigadores señalan que estos ID de modelo pueden obtenerse si un atacante posee o compra un dispositivo del mismo modelo que el del objetivo. También señalan que, en algunos casos, el dispositivo comparte este ID cuando una computadora o un teléfono intentan emparejarse con él. Además de estos dos métodos para obtener el ID de modelo correcto de un dispositivo, los investigadores también descubrieron que podían consultar una API de Google de acceso público para obtener todos los ID de modelo posibles y determinarlos para todos los dispositivos.
Lo más visto
- CienciaLa física detrás del cuádruple axel, el salto más difícil del patinaje artísticoPor Marta Musso
- CulturaLa historia detrás del sorprendente salto del patinador sobre hielo Ilia MalininPor Paolo Armelli
- SeguridadEl cierre aéreo en El Paso mostró la falta de comunicación entre Migración y las agencias de EE UUPor Lily Hay Newman
- PoliticaQué dice la reforma laboral de Milei que amenaza con desatar una nueva huelga generalPor Fernanda González
Publicidad
En sus experimentos, el equipo de KU Leuven utilizó una minicomputadora Raspberry Pi 4 de bajo costo para probar su técnica, intentando emparejarla con 25 dispositivos Fast Pair ya emparejados de 16 fabricantes diferentes, y descubrieron que la mayoría de los dispositivos y fabricantes que probaron eran vulnerables. Llevaron a cabo sus técnicas de emparejamiento desde unos 14 metros del objetivo, aunque creen que probablemente serían posibles distancias mayores, y las tomas tardaron entre 10 y 15 segundos, mantienen.
Los auriculares Google Pixel Buds Pro 2 y cinco modelos de auriculares Sony que probaron también sufrían un problema de seguridad distinto e inquietante. Si los dispositivos no estaban vinculados previamente a una cuenta de Google (por ejemplo, porque solo se utilizaban con un iPhone), un hacker podría utilizar WhisperPair no solo para emparejarlos con el accesorio objetivo, sino también para vincularlos a su cuenta de Google. El sistema de Google está diseñado para identificar como propietario al primer dispositivo Android que se empareje con los auriculares u otros periféricos. Ese truco permitiría al hacker utilizar la función Find Hub de Google, que rastrea la geolocalización del dispositivo en función de sus conexiones con los dispositivos circundantes, y seguir los movimientos del usuario objetivo. “Eso significa que ahora puedo ver tu dispositivo en mi red Find Hub dondequiera que vayas, en todo momento”, alerta Duttagupta.
Con esa técnica de rastreo, la víctima podría recibir en algún momento una notificación en su smartphone de que un dispositivo Find Hub le estaba siguiendo, gracias a las funciones de seguridad diseñadas por Google y Apple para evitar que los dispositivos Find Hub se utilicen para seguir a una víctima involuntaria. Pero cualquier víctima que siguiera la alerta vería que Google o Apple le estaban advirtiendo de que era su propio dispositivo el que le seguía y probablemente asumiría que la alerta era solo un fallo, argumentan los investigadores.
¿Qué puedes hacer?
Por todos estos problemas, no hay ningún cambio fácil en la configuración de los accesorios que los usuarios puedan hacer para protegerse. “No hay forma de desactivar el emparejamiento rápido, aunque nunca se vaya a utilizar”, advierte Wyns. “Puedes restablecer de fábrica tu dispositivo, y eso borrará el acceso del atacante, por lo que tendrá que hacer el ataque de nuevo, pero está activado por defecto en todos los dispositivos compatibles”.
Las vulnerabilidades de WhisperPair parecen haber surgido de un conjunto de problemas complejos e interrelacionados. Los investigadores señalan que es habitual que tanto los fabricantes de periféricos como los de chips cometan errores al implementar el estándar técnico Fast Pair. No todos estos fallos dan lugar a vulnerabilidades de seguridad, pero el alcance de la confusión plantea dudas sobre la solidez de la norma, destacan los investigadores.
Google ofrece una aplicación validadora a través de Play Store que los vendedores deben ejecutar como parte del proceso de certificación de sus productos para utilizar Fast Pair. Según su descripción, la aplicación “valida que Fast Pair se ha implementado correctamente en un dispositivo Bluetooth” y genera informes sobre si un producto ha superado o no una evaluación de su implementación de Fast Pair. Los investigadores señalan que todos los dispositivos que probaron en su trabajo tenían su implementación de Fast Pair certificada por Google. Eso significa, presumiblemente, que la aplicación de Google los clasificó como que cumplían sus requisitos, aunque sus implementaciones tuvieran fallos peligrosos. Además, los dispositivos Fast Pass certificados se someten a pruebas en laboratorios seleccionados por Google que revisan los informes de aprobación y evalúan directamente las muestras físicas de los dispositivos antes de su fabricación a gran escala para confirmar que se ajustan al estándar Fast Pair.
Lo más visto
- CienciaLa física detrás del cuádruple axel, el salto más difícil del patinaje artísticoPor Marta Musso
- CulturaLa historia detrás del sorprendente salto del patinador sobre hielo Ilia MalininPor Paolo Armelli
- SeguridadEl cierre aéreo en El Paso mostró la falta de comunicación entre Migración y las agencias de EE UUPor Lily Hay Newman
- PoliticaQué dice la reforma laboral de Milei que amenaza con desatar una nueva huelga generalPor Fernanda González
Publicidad
Google afirma que la especificación Fast Pair establecía unos requisitos claros y que la aplicación Validator se diseñó principalmente como herramienta de apoyo para que los fabricantes probaran la funcionalidad básica. Tras la revelación de los investigadores de KU Leuven, la empresa sostiene que ha añadido nuevas pruebas de implementación orientadas específicamente a los requisitos de Fast Pair.
En última instancia, según los investigadores, es difícil determinar si los problemas de implementación que condujeron a las vulnerabilidades de WhisperPair se debieron a errores de los fabricantes de dispositivos o de los fabricantes de chips.
WIRED se puso en contacto con todos los fabricantes de chips que fabrican los chipsets utilizados por los accesorios de audio vulnerables (Actions, Airoha, Bestechnic, MediaTek, Qualcomm y Realtek), pero ninguno respondió. En sus comentarios a WIRED, Xiaomi señaló: “Hemos confirmado internamente que el problema al que usted hace referencia fue causado por una configuración no estándar de los proveedores de chips en relación con el protocolo Google Fast Pair.” Airoha es el fabricante del chip utilizado en los Redmi Buds 5 Pro que los investigadores identificaron como vulnerables.
Independientemente de quién sea el culpable de las vulnerabilidades de WhisperPair, los investigadores subrayan que un cambio conceptualmente sencillo en la especificación de Fast Pair resolvería el problema más fundamental que subyace a WhisperPair: Fast Pair debería reforzar criptográficamente los emparejamientos deseados por el propietario del accesorio y no permitir que un “propietario” secundario pueda emparejarse sin autenticación.
Por ahora, Google y muchos fabricantes de dispositivos disponen de actualizaciones de software para corregir las vulnerabilidades específicas. Pero es probable que las instalaciones de esos parches sean inconsistentes, como casi siempre ocurre con la seguridad en el Internet de las Cosas. Los investigadores instan a todos los usuarios a actualizar sus accesorios vulnerables y les remiten a un sitio web creado por ellos que ofrece una lista de dispositivos afectados por WhisperPair. Además, manifiestan que todo el mundo debería utilizar WhisperPair como recordatorio general para actualizar todos sus dispositivos del Internet de las Cosas.
El mensaje más amplio de su investigación, indican, es que los fabricantes de dispositivos deben dar prioridad a la seguridad a la hora de añadir funciones fáciles de usar. Al fin y al cabo, el propio protocolo Bluetooth no contenía ninguna de las vulnerabilidades que han descubierto, solamente el protocolo de un solo toque que Google creó para facilitar el emparejamiento.
“Sí, queremos hacernos la vida más fácil y que nuestros dispositivos funcionen sin problemas”, expresa Antonijević. “Comodidad no significa inmediatamente menos seguridad. Pero en pro de la comodidad, no debemos descuidar la seguridad.”
Artículo originalmente publicado en WIRED. Adaptado por Mauricio Serfatty Godoy.
Image Credits: Getty Images