ثغرة WhisperPair تهدد خصوصية الملايين عبر بروتوكول Google Fast Pair

الاختراق الأمني

A A

كشف باحثون أمنيون من جامعة KU Leuven، عن ثغرة أمنية بالغة الخطورة أطلقوا عليها اسم WhisperPair، حيث تستهدف هذه الثغرة الملحقات الصوتية التي تعتمد على بروتوكول Google Fast Pair لتسهيل عملية الاقتران، مما يضع سماعات الأذن ومكبرات الصوت الذكية في مواجهة مباشرة مع هجمات اختراق صامتة، قد لا يشعر بها المستخدم العادي إطلاقاً.

تتيح هذه الثغرة للمهاجمين إمكانية السيطرة الكاملة على الأجهزة، طالما تواجدوا ضمن نطاق اتصال Bluetooth التقليدي، حتى لو كان الجهاز متصلاً بالفعل بمالكه الشرعي ويقوم بتشغيل المحتوى الصوتي، مما يعكس ضعفاً هيكلياً في كيفية إدارة جلسات الاتصال، ويسمح بانتزاع التحكم من المستخدم الأصلي وتوجيه الجهاز لتنفيذ أوامر خارجية غير مصرح بها.

أكد الباحثون أن الخلل لا يكمن في تقنية Bluetooth بحد ذاتها، بل في طريقة تنفيذ الشركات المصنعة لإرشادات شركة جوجل، حيث لا يتم فرض وضع الاقتران اليدوي بشكل صارم وقاطع، وهو ما يفتح الباب أمام المهاجمين لإرسال طلبات اتصال جديدة وقبولها من قبل الجهاز بشكل تلقائي، مما يحول الملحقات الشخصية إلى أدوات للتجسس والمراقبة.

خلل التنفيذ

تسمح ثغرة WhisperPair للمخترقين ببث أصوات غير مرغوب فيها داخل سماعات الضحايا، أو التلاعب بمستويات الصوت بشكل مفاجئ ومزعج، والأكثر خطورة من ذلك هو إمكانية تفعيل الميكروفون المدمج عن بُعد للتنصت على المحادثات الخاصة، مما يمثل انتهاكاً صارخاً للخصوصية الشخصية في الأماكن العامة والخاصة على حد سواء دون أي تنبيه مرئي.

أوضح موقع The Register في تقريره التقني، أن المهاجم يمكنه ربط الجهاز المخترق بحساب Find My Device الخاص به قبل أن يتمكن المستخدم الأصلي من القيام بذلك، وهذا السيناريو يتيح للمخترق تتبع الموقع الجغرافي للضحية بدقة متناهية عبر شبكة جوجل العالمية، مما يحول سماعة الأذن البسيطة إلى جهاز تتبع مادي يلاحق صاحبه أينما ذهب.

تجسد هذه الثغرة تهديداً غير مرئي يتجاوز حدود الاختراق الرقمي المعتاد، إذ يمكن للمهاجم استغلال الخلل للوصول إلى معلومات حساسة عبر التنصت، أو حتى ممارسة ضغوط نفسية على الضحية من خلال التحكم في بيئته الصوتية، وهو ما يستدعي مراجعة شاملة لبروتوكولات الاتصال السريع التي نستخدمها يومياً دون التفكير في عواقبها الأمنية المحتملة.

أمن الإمدادات

تسلط WhisperPair الضوء على أزمة عميقة في سلاسل التوريد العالمية، خاصة مع انتشار الملحقات الإلكترونية منخفضة التكلفة التي تفتقر لأدنى معايير الأمان، حيث يتم إطلاق ملايين الأجهزة في الأسواق دون وجود آلية واضحة لتحديث البرمجيات الثابتة "Firmware"، مما يعني أن الأجهزة المصابة قد تظل عرضة للاختراق طوال عمرها الافتراضي دون حل جذري.

تعاني صناعة إنترنت الأشياء من غياب التزام بعض المصنعين بتوفير تحديثات أمنية منتظمة، وحتى في حال قيام جوجل بتحسين بروتوكول Fast Pair من جهتها، فإن الأجهزة التي بيعت بالفعل ستبقى نقطة ضعف قاتلة، مما يعزز الحاجة إلى قوانين دولية تفرض على الشركات المصنعة تأمين أجهزتها ضد مثل هذه الثغرات قبل طرحها للمستهلكين.

أشار الباحثون إلى أن سهولة الاستخدام التي يوفرها Google Fast Pair جاءت على حساب الأمن في كثير من الأحيان، حيث يفضل المصنعون تقليل خطوات الاقتران لجعل التجربة أكثر سلاسة، ولكن هذا النهج أدى في النهاية إلى فتح ثغرات برمجية تسمح لأي شخص قريب بالدخول إلى النظام، والسيطرة على الأجهزة الصوتية دون الحاجة إلى معرفة تقنية معقدة.

مخاطر التتبع

تتزايد المخاوف من تحول الملحقات اليومية البسيطة إلى أدوات مراقبة جماعية، حيث يمكن استغلال WhisperPair في عمليات تتبع مادية مستمرة للأفراد، مما يهدد السلامة الشخصية بشكل مباشر ويتجاوز مخاطر سرقة البيانات الرقمية، وهذا الواقع الجديد يفرض على المستخدمين توخي الحذر الشديد عند استخدام ميزات الاقتران التلقائي في الأماكن المزدحمة.

طالب خبراء الأمن بضرورة تدخل تنظيمي عاجل لفرض معايير أمنية أكثر صرامة، تضمن عدم قبول الأجهزة لأي طلبات اقتران جديدة إلا بعد تأكيد يدوي واضح من المستخدم، كما ينصحون حالياً بتعطيل ميزات الاقتران السريع في الهواتف الذكية مؤقتاً، والاعتماد على الطرق التقليدية واليدوية لتوصيل السماعات ومكبرات الصوت لضمان أعلى مستوى من الحماية.

ثغرة WhisperPair أمن البلوتوث جوجل فاست بير