מומחי ביטחון: אוזניות בלוטות' עשויות להפוך לכלי האזנה

סדא ניוז - בזמן שהטכנולוגיה מתקדמת בכל התחומים, הטלפונים החכמים והטכנולוגיות האלחוטיות הפכו לחלק בלתי נפרד מהשגרה היומית של אנשים.

עם זאת, מומחי ביטחון גילו פערים חמורים במספר אוזניות בלוטות' פופולריות שיכולות לאפשר האקרים לחדור למכשירים הללו ולרגל אחרי המשתמשים, ואף לבצע פעולות חדירה מתקדמות שיכולות לכלול גם את הטלפונים המתקשרים אליהם, על פי אתר "פורבס".

החוקר הביטחוני הגרמני דניס היינץ, יחד עם פרידר שטיינמיץ מחברת ERNW המומחית בביטחון סייבר, הודיעו על זיהוי מספר פערים במכשירים המשתמשים בשבבי Airoha, שהיא אחת החברות המובילות בייצור טכנולוגיות בלוטות', במיוחד אוזניות TWS (True Wireless Stereo).

פערים אלו - בחלק מהמקרים - מאפשרים שליטה מלאה על האוזנייה מרחוק, מבלי צורך בזווג או אישור, בתנאי שהתוקף נמצא בטווח הבלוטות' של המכשיר, לפי החוקרים.

שבירת קשרי אמון

היינץ הזהיר גם שאם ההאקר יצליח לנצל את הפערים, הוא יוכל לקרוא ולכתוב בזיכרון המכשיר, לשבור את קשרי האמון בין האוזנייה לבין הטלפון, ולהאזין למה שהמיקרופון קולט, אם האוזנייה פועלת ואינה בשימוש בפועל.

כמו כן, ההאקר יכול, בחלק מהס scenarios, לאמץ את זהות האוזנייה ולבצע פקודות על הטלפון החכם, כגון לבצע שיחות או לחלץ ד Contacts ورשימת שיחות, מה שמייצג איום ישיר על הפרטיות.

קטגוריות מסוימות

אם כי האקרים עשויים לא לכוון את המשתמש הרגיל בשלב זה, החוקרים אישרו שהסכנות נוגעות לקטגוריות מסוימות, ביניהם עיתונאים, דיפלומטים, פעילים ואופוזיציה פוליטית, במיוחד בסביבות הנתונות לפיקוח או מעקב אינטנסיבי.

היינץ גם ציין את החשיבות של עדכון התוכנה המתקדמת של המכשירים כאשר זאת זמינה, והדגיש את הצורך להפסיק את החיבור בין האוזנייה לטלפון לחלוטין, ולא רק לכבות אותה. הוא אמר כי "ההזהרה מופנית לכל מי שעושה שימוש באוזניות אלו במקומות רגישים או במהלך משימות שדורשות פרטיות גבוהה".

צעדים לתיקון הפערים

חברת Airoha פרסמה חבילת עדכון לתיקון הפערים במהלך השבוע הראשון של יוני, בעוד שכמה חברות יצרניות התחילו להכין עדכונים משלהן, על פי הדו"ח.

כמו כן, חברת Jabra, בהודעה רשמית, אישרה שהיא עובדת על עדכון ביטחוני לתיקון הפער באוזניות Elite 8 ו-Elite 10, בעוד שדגמים אחרים אינם מושפעים.

עדכוני ביטחון אוטומטיים

מצדו, בוריס סיבוט, מהנדס הביטחון הבכיר בחברת Black Duck, הדגיש שכל התקדמות טכנולוגית חדשה מביאה בחובה פערים לא גלוים, וקרא להנפיק עדכוני ביטחון אוטומטיים מבלי להסתמך על התערבות משתמש.

סיבוט סיים ואמר כי "שמירה על ביטחון המכשירים היא אחריות משותפת בין החברות לבין המשתמשים, אך העומס הגדול ביותר נופל על היצרנים להבטיח תגובה מהירה ויעילה".