Фахівці з кібербезпеки виявили значні вразливості у відомих брендах бездротових навушників, таких як Sony, JBL, Marshall та інших. Ці «прогалини» в безпеці дозволяють зловмисникам перетворювати стандартні навушники на пристрої спостереження, повідомляє Ukr.Media.
Що сталося
Дослідники з німецької фірми ERNW виявили три основні вразливості в Bluetooth-чіпах виробництва Airoha. Ці чіпи широко використовуються в бездротових навушниках, динаміках та мікрофонах багатьох відомих брендів.
Наразі проблему підтверджено у 29 моделях від таких виробників, як Beyerdynamic, Bose, Sony, Marshall, Jabra, JBL, Jlab, EarisMax, MoerLabs та Teufel.
Найбільш часто уражаються такі моделі:
Sony (найбільше постраждалих):
- Навушники: WH-1000XM4/XM5/XM6, WH-CH520, ULT Wear, CH-720N;
- Навушники-вкладки: WF-1000XM3/XM4/XM5, Link Buds S, WF-C500, WI-C100;
Маршалл: MAJOR V, MINOR IV, MOTIF II, а також виступатимуть спікери ACTON III, STANMORE III, WOBURN III;
JBL: Гонка на витривалість 2, Живі Будки 3;
Bose: Навушники QuietComfort;
Jabra: Elite 8 Active;
Це лише декілька з понад 100 типів пристроїв, які можуть бути під загрозою. Багато виробників не знають, що використовують чіпи Airoha.
Як відбувається атака
Основна загроза полягає у можливості зловмисника підключитися до ваших навушників без авторизації. Через слабкі місця в процесі перевірки (відомому як «відсутність автентифікації») хакер може:
- Записувати всі дані, що передаються між телефоном і навушниками, включаючи аудіо під час розмов;
- Переривайте з'єднання та надсилайте команди на свій смартфон;
- Можливо, отримати доступ до вашого списку контактів.
Важливо: щоб така атака сталася, злочинець повинен знаходитися поблизу — приблизно в межах 20 метрів. Bluetooth не працює на великих відстанях, тому прослуховування з іншого міста неможливе.
Наскільки це серйозно?
Експерти оцінили ці вразливості на 6,7–7,5 балів з 10. Це вказує на середній або високий рівень ризику, але не критичний.
Для пересічного користувача ризик може бути не таким тривожним, як здається. По-перше, атаки можна здійснити лише з невеликої відстані. По-друге, таке порушення вимагає спеціальних знань та обладнання.
Найбільший ризик наражається на осіб, які можуть стати ціллю конкретних атак, — таких як бізнесмени, політики та журналісти. У місцях скупчення людей ймовірність випадкового прослуховування досить низька.
Які дії вживають виробники?
Airoha вже знає про цю проблему та розробила рішення для своїх чіпів. Виробники навушників (такі як Sony, JBL та інші) отримали ці «патчі» та працюють над оновленнями прошивки для своїх пристроїв.
Хоча терміни випуску цих оновлень ще не розголошуються, очікується, що вони будуть доступні найближчим часом.
Що мають робити користувачі?
Будьте в курсі подій — часто перевіряйте мобільний додаток вашої марки навушників на наявність оновлень прошивки;
Будьте обережні під час делікатних обговорень — якщо йдеться про важливі теми, бажано не робити цього в громадських місцях;
Вимикайте Bluetooth, коли не використовуєте навушники для розмов;
Зберігайте спокій — для більшості користувачів фактичний ризик все ще низький.
Цей сценарій підкреслює поширену проблему сучасних «розумних» пристроїв: виробники часто надають пріоритет функціональності на шкоду безпеці. Відсутність належної перевірки з’єднання на рівні протоколу є фундаментальним недоліком, якого можна уникнути.
Для галузі це слугує нагадуванням про необхідність ретельно перевіряти код перед випуском продукту, особливо щодо пристроїв, які обробляють особисту інформацію користувачів.
Хоча загроза реальна, швидка реакція виробника чіпів та підготовка патчів свідчать про ефективну роботу системи безпеки. Головне — встановлювати оновлення одразу після їх випуску.
Джерело: ukr.media
