جديديمكنك الاستماع إلى مقالات فوكس نيوز الآن!
صممت Google ميزة Fast Pair لجعل اتصالات Bluetooth سريعة وسهلة، حيث تحل نقرة واحدة محل القائمة والرمز والاقتران اليدوي. وتأتي هذه الميزة الآن مصحوبة بمخاطر جسيمة. اكتشف باحثون أمنيون في جامعة KU Leuven عيوبًا في بروتوكول Fast Pair من Google والذي يسمح بعمليات الاستيلاء الصامتة على الأجهزة. أطلقوا على طريقة الهجوم اسم WhisperPair. يمكن للمهاجم القريب الاتصال بسماعات الرأس أو سماعات الأذن أو مكبرات الصوت دون علم المالك. وفي بعض الحالات، يمكن للمهاجم تتبع موقع المستخدم. علاوة على ذلك، لا يحتاج الضحايا إلى استخدام Android أو امتلاك أي من منتجات Google. يتأثر مستخدمو iPhone أيضًا.
قم بالتسجيل للحصول على تقرير CyberGuy المجاني الخاص بي
احصل على أفضل النصائح التقنية، والتنبيهات الأمنية العاجلة، والصفقات الحصرية التي يتم تسليمها مباشرة إلى صندوق الوارد الخاص بك. بالإضافة إلى ذلك، يمكنك الوصول الفوري إلى دليل Ultimate Scam Survival الخاص بي – مجانًا عند انضمامك إلي CYBERGUY.COM النشرة الإخبارية
حذرت شركة Apple من أن الملايين من أجهزة iPhone معرضة للهجوم
تتصل سماعات الرأس Fast Pair Bluetooth بسرعة، لكن وجد الباحثون أن بعض الأجهزة تقبل أزواجًا جديدة دون الحصول على إذن مناسب. (كورت “سايبيرجوي” كنوتسون)
ما هو WhisperPair وكيف يخترق أجهزة البلوتوث
يعمل Fast Pair عن طريق بث هوية الجهاز إلى الهواتف وأجهزة الكمبيوتر القريبة. يعمل هذا الاختصار على تسريع عملية الاقتران. لقد وجد الباحثون أن العديد من الأجهزة تتجاهل قاعدة أساسية. ما زالوا يقبلون أزواجًا جديدة عندما تكون متصلة بالفعل، مما يفتح الباب أمام إساءة الاستخدام.
وفي نطاق البلوتوث، يمكن للمهاجم أن يقترن بجهاز ما بصمت خلال 10 إلى 15 ثانية. بمجرد الاتصال، يمكنهم مقاطعة المكالمات أو إدخال الصوت أو تنشيط الميكروفون. لا يتطلب الهجوم أجهزة خاصة ويمكن تنفيذه باستخدام هاتف قياسي أو كمبيوتر محمول أو جهاز منخفض التكلفة مثل Raspberry Pi. ووفقا للباحثين، فإن المهاجم يصبح فعليا مالك الجهاز.
العلامات التجارية الصوتية المتأثرة بثغرة FastPair
اختبر الباحثون 17 جهازًا متوافقًا مع Fast Pair من العلامات التجارية الكبرى بما في ذلك Sony وJabra وJBL وMarshall وXiaomi وNothing وOnePlus وSoundcore وLogitech وGoogle. لقد اجتازت معظم هذه المنتجات اختبارات شهادة Google. تثير هذه التفاصيل أسئلة غير مريحة حول كيفية اختبار الأمان.
كيف يمكن لسماعات الرأس أن تكون أجهزة تتبع
تشكل بعض النماذج المتأثرة مشكلات خصوصية أكبر. تتكامل بعض أجهزة Google وSony مع Find Hub، الذي يستخدم الأجهزة القريبة لتقدير الموقع. إذا لم يتم ربط سماعة الرأس بحساب Google مطلقًا، فيمكن للمهاجم المطالبة بها أولاً. وهذا يسمح بتتبع تحركات المستخدم بشكل مستمر. إذا تلقى الضحية لاحقًا تنبيهًا بالتتبع، فقد يبدو أنه يشير إلى جهازه الخاص. وهذا يجعل من السهل تجاهل التحذير باعتباره خطأ.
وجد الباحثون أن GOOGLE NEST لا يزال يرسل البيانات بعد انقطاع جهاز التحكم عن بعد
لوحة معلومات المهاجم مع الموقع من شبكة Find Hub (بعض لوفين)
لماذا قد تكون العديد من أجهزة الإقران السريع عرضة للخطر
هناك مشكلة أخرى لا يأخذها معظم المستخدمين في الاعتبار. تتطلب سماعات الرأس ومكبرات الصوت تحديث البرامج الثابتة. تأتي هذه التحديثات عادةً من خلال تطبيقات خاصة بعلامة تجارية معينة والتي لا يقوم الكثير من الأشخاص بتثبيتها مطلقًا. إذا لم تقم بتنزيل التطبيق، فلن ترى التحديث أبدًا. وهذا يعني أن الأجهزة الضعيفة يمكن أن تظل مكشوفة لأشهر أو حتى سنوات.
الطريقة الوحيدة لإصلاح هذه الثغرة الأمنية هي تثبيت تحديث برنامج صادر عن الشركة المصنعة للجهاز. على الرغم من أن العديد من الشركات قد أصدرت تصحيحات، إلا أن التحديثات قد لا تكون متاحة بعد لكل طراز متأثر. يجب على المستخدمين التحقق مباشرة من الشركة المصنعة للتأكد من وجود تحديث أمني لأجهزتهم الخاصة.
لماذا تخلق الراحة فجوات أمنية
البلوتوث نفسه لم يكن هو المشكلة. ويكمن الخلل في مستوى الراحة المبني فوقه. يعطي Fast Payer الأولوية للسرعة على التطبيق الصارم للملكية. يجادل الباحثون بأن الاقتران يتطلب إثباتًا مشفرًا للملكية. وبدون ذلك، تصبح معالم المنشأة هي سطح الهجوم. الأمن وسهولة الاستخدام لا يتعارضان. لكن يجب أن يتم تصميمهما معًا.
يستجيب Google Fast Pair للعيوب الأمنية في WhisperPair
وقالت جوجل إنها تعمل مع الباحثين لمعالجة نقاط الضعف في WhisperPair وبدأت في إرسال التصحيحات الموصى بها إلى صانعي سماعات الرأس في أوائل سبتمبر. أكدت Google أن سماعات الرأس Pixel الخاصة بها قد تم تصحيحها الآن.
في بيان لـ CyberGuy، قال متحدث باسم Google: “نحن نقدر التعاون مع الباحثين الأمنيين من خلال برنامج مكافآت الثغرات الأمنية لدينا، والذي يساعد في الحفاظ على أمان مستخدمينا. لقد عملنا مع هؤلاء الباحثين لمعالجة نقاط الضعف هذه، ولم نر أي دليل على الاستغلال خارج إعداد المختبر لهذا التقرير. كأفضل ممارسة أمنية، نوصي المستخدمين بتحديث سماعات الرأس الخاصة بهم للحصول على أحدث الإجراءات الأمنية. قم بتقييم وتحسين أمان Fast Pair وFind Hub.”
تقول Google إن المشكلة الرئيسية تنبع من عدم اتباع بعض الشركات المصنعة للملحقات بشكل كامل لمواصفات الزوج السريع. تتطلب هذه المواصفات أن يقبل الملحق فقط طلبات الاقتران عندما يقوم المستخدم بوضع الجهاز في وضع الاقتران عمدًا. وفقًا لشركة جوجل، فإن الفشل في تطبيق هذه القاعدة ساهم في مخاطر الصوت والميكروفون التي حددها الباحثون.
لتقليل المخاطر في المستقبل، تقول Google إنها قامت بتحديث Quick Pair Verifier ومتطلبات الشهادة للتحقق بشكل صريح من أن الأجهزة تنفذ عمليات فحص وضع الاقتران بشكل صحيح. تقول Google أيضًا إنها زودت الشركاء التابعين بإصلاحات تهدف إلى حل جميع المشكلات ذات الصلة بشكل كامل بمجرد تنفيذها.
ومن ناحية تتبع الموقع، تقول Google إنها طورت إصلاحًا من جانب الخادم يمنع الملحقات من التسجيل بصمت في شبكة Find Hub إذا لم يتم إقرانها مطلقًا بجهاز Android. وفقًا للشركة، يعالج هذا التغيير مخاطر تتبع Find Hub في تلك المواقف المحددة عبر جميع الأجهزة، بما في ذلك ملحقات Google الخاصة.
ومع ذلك، أثار الباحثون تساؤلات حول مدى سرعة وصول التصحيحات إلى المستخدمين ومدى رؤية Google للانتهاكات الواقعية التي لا تتضمن أجهزة Google. ويجادلون أيضًا بأن نقاط الضعف في الشهادات تسمح للتطبيقات المعيبة بالوصول إلى السوق، مما يشير إلى مشاكل نظامية أوسع.
في الوقت الحالي، يتفق كل من جوجل والباحثين على نقطة رئيسية واحدة. يجب على المستخدمين تثبيت تحديثات البرامج الثابتة من الشركة المصنعة لحمايتهم، وقد يختلف التوفر حسب الجهاز والعلامة التجارية.
مخاوف اختراق المنازل الذكية: ما هو حقيقي وما هو الضجيج
إظهار إشعارات التتبع غير المرغوب فيها على جهاز الضحية الخاص. (بعض لوفين)
كيفية تقليل المخاطر الخاصة بك الآن
لا يمكنك تعطيل الاقتران السريع بشكل كامل، ولكن يمكنك تقليل التعرض.
1) تحقق مما إذا كان جهازك متأثرًا
إذا كنت تستخدم أحد ملحقات Bluetooth التي تدعم Google Fast Pair، بما في ذلك سماعات الأذن اللاسلكية أو سماعات الرأس أو مكبرات الصوت، فقد تتأثر بذلك. أنشأ الباحثون أداة بحث عامة تتيح لك البحث عن طراز جهازك المحدد ومعرفة ما إذا كان معرضًا للخطر. يعد فحص جهازك خطوة أولى سهلة قبل تحديد الإجراء الذي يجب اتخاذه. يزور whisperpair.eu/vulnerable-devices لمعرفة ما إذا كان جهازك مدرجًا في القائمة.
2) قم بتحديث جهاز الصوت الخاص بك
قم بتثبيت التطبيق الرسمي للشركة المصنعة لسماعة الرأس أو مكبر الصوت. تحقق من وجود تحديثات للبرامج الثابتة وقم بتطبيقها على الفور.
3) تجنب الاقتران في الأماكن العامة
إضافة أجهزة جديدة إلى المساحات الشخصية. تجنب الاقتران في المطارات أو المقاهي أو صالات الألعاب الرياضية حيث يتواجد الغرباء.
4) إعادة ضبط المصنع إذا شعرت بشيء ما
علامات تحذيرية لانقطاعات صوتية غير متوقعة أو أصوات غريبة أو انقطاع الاتصالات. يمكن أن تؤدي إعادة ضبط المصنع إلى إزالة الاقتران غير المصرح به، ولكنها لا تعمل على إصلاح الثغرة الأمنية الأساسية. لا يزال تحديث البرامج الثابتة مطلوبًا.
5) قم بإيقاف تشغيل البلوتوث إذا لم تكن هناك حاجة إليه
يلزم تشغيل Bluetooth فقط أثناء الاستخدام النشط. يؤدي إيقاف تشغيل Bluetooth عندما لا تكون قيد الاستخدام إلى الحد من التعرض للخطر، ولكنه لا يزيل المخاطر الكامنة إذا لم يتم تصحيح الجهاز.
6) إعادة ضبط الجهاز المستعمل
قم دائمًا بإعادة ضبط المصنع قبل توصيل سماعات الرأس أو مكبرات الصوت المستخدمة. يزيل الروابط المخفية وارتباطات الحساب.
7) خذ تحذيرات التتبع على محمل الجد
تحقق من تنبيهات Find Hub أو Apple للتتبع، حتى لو كانت تشير إلى جهازك الخاص.
8) حافظ على تحديث هاتفك
قم بتثبيت تحديثات نظام التشغيل على الفور. يمكن لتصحيحات النظام الأساسي أن تمنع مسارات الاستغلال حتى عندما تكون الملحقات متخلفة.
طريقة العربة الأصلية
يوضح WhisperPair كيف يمكن أن تؤدي الاختصارات الصغيرة إلى إخفاقات كبيرة في الخصوصية. سماعات الرأس تبدو غير ضارة. ومع ذلك، فهي تحتوي على ميكروفونات وأجهزة راديو وبرامج تتطلب الصيانة والتحديثات. ويترك تجاهلها نقطة عمياء يسعد المهاجمون باستغلالها. البقاء آمنًا الآن يعني الاهتمام بالأجهزة التي كنت تعتبرها أمرًا مفروغًا منه
هل ينبغي السماح للشركات بإعطاء الأولوية للاقتران الأسرع على إثبات التشفير لملكية الجهاز؟ اكتب لنا واسمحوا لنا أن نعرف Cyberguy.com
انقر هنا لتحميل تطبيق فوكس نيوز
قم بالتسجيل للحصول على تقرير CyberGuy المجاني الخاص بي
احصل على أفضل النصائح التقنية، والتنبيهات الأمنية العاجلة، والصفقات الحصرية التي يتم تسليمها مباشرة إلى صندوق الوارد الخاص بك. بالإضافة إلى ذلك، يمكنك الوصول الفوري إلى دليل Ultimate Scam Survival الخاص بي – مجانًا عند انضمامك إلي CYBERGUY.COM النشرة الإخبارية
حقوق الطبع والنشر 2026 CyberGuy.com. جميع الحقوق محفوظة
