اختراق WhisperPair يهدد خصوصية مستخدمي أجهزة Google واندرويد

كشف تقرير أمني صادر عن باحثين في جامعة لوفين الكاثوليكية ببلجيكا، عن وجود ثغرة برمجية حرجة للغاية أطلق عليها اسم WhisperPair، تستهدف تقنية Google Fast Pair وتتسبب في تهديد مباشر لخصوصية مستخدمي 17 طرازاً من السماعات الذكية.

تسمح هذه الفجوة التقنية للمهاجمين بالوصول إلى الميكروفونات المدمجة في السماعات، والتنصت على المحادثات المحيطة وتتبع الموقع الجغرافي للمستخدم بدقة، طالما كان المخترق موجوداً ضمن نطاق تغطية البلوتوث الخاص بالجهاز المتصل بهاتف الضحية.

تعتبر تقنية Google Fast Pair ميزة ابتكارية طورتها شركة Google، لتسهيل عملية الاقتران الفوري بين الملحقات اللاسلكية وهواتف Android دون خطوات معقدة، إلا أن التطبيق الخاطئ لهذه الآلية من قبل بعض الشركات المصنعة فتح ثغرة أمنية غير متوقعة.

خلل الاقتران

أوضح الباحثون أن الثغرة ناتجة عن استمرار الجهاز في قبول طلبات الاتصال، حتى بعد انتهاء عملية الاقتران الأصلية واكتمال الإعدادات، مما يتيح لأي طرف خارجي استغلال هذا الخطأ البرمجي للسيطرة على وظائف الجهاز اللاسلكي في أقل من 15 ثانية فقط.

يتمكن المهاجم من تفعيل ميكروفون السماعة سراً وتسجيل الأصوات المحيطة، أو حتى حقن أصوات معينة داخل الجهاز دون علم صاحبه، بالإضافة إلى إمكانية ربط الجهاز بحسابات تعقب خارجية تتيح مراقبة تحركات المستخدم وتحديد مكانه على الخريطة.

تؤثر هذه المشكلة الأمنية على 17 جهازاً من فئات سماعات الرأس ومكبرات الصوت، التي تعتمد على بروتوكول جوجل للاقتران السريع، مما جعلها عرضة للتجسس في حال لم يقم المستخدمون بتحديث البرمجيات الثابتة Firmware الخاصة بتلك الأجهزة فوراً.

أعلنت شركة Google أنها قامت بالفعل بإصلاح الخلل في كافة طرازات Pixel Buds، كما أنها زودت شركاءها من المصنعين بالحلول التقنية اللازمة منذ شهر سبتمبر الماضي، مؤكدة أنها لم ترصد أي استغلال فعلي لهذه الثغرة خارج النطاق المختبري للباحثين.

مخاطر التجسس

يتعين على مستخدمي أجهزة البلوتوث التي تدعم Google Fast Pair، مراجعة تطبيقات الإدارة الخاصة بسماعاتهم للتأكد من تثبيت آخر التحديثات الأمنية، حيث أن بقاء النسخ القديمة يجعل الأجهزة هدفاً سهلاً لأي شخص يمتلك مهارات تقنية بسيطة للتنصت.

أشار التقرير الأمني إلى أن خطورة WhisperPair تكمن في سرعتها الفائقة، إذ لا تتطلب عمليات معقدة لاختراق النظام، بل تعتمد على استغلال "الثقة البرمجية" التي تمنحها ميزة الاقتران السريع، مما يعيد النقاش حول أمان تقنيات الاتصال اللاسلكي الحديثة.

تتجه الأنظار حالياً نحو الشركات المصنعة التي لم تصدر تحديثاتها بعد، حيث يطالب خبراء الأمن السيبراني بضرورة فرض معايير صارمة على بروتوكولات Fast Pair، لضمان إغلاق باب الاتصال تماماً فور استقرار العلاقة البرمجية بين الهاتف والسماعة المتصلة.

يعمل نظام Android حالياً على توفير طبقة حماية إضافية، تنبه المستخدم في حال وجود محاولة اقتران مجهولة أو غير مصرح بها، وهو ما يحد من قدرة المخترقين على تنفيذ هجوم WhisperPair في الأماكن العامة المزدحمة مثل المطارات أو مراكز التسوق.

حماية الخصوصية

ينصح المتخصصون بضرورة إيقاف تفعيل ميزة البلوتوث في حال عدم استخدام السماعات، كإجراء احترازي يمنع أي محاولة وصول خارجي للجهاز، خاصة وأن الثغرة تعتمد كلياً على وجود إشارة لاسلكية نشطة قابلة للاكتشاف من قبل أجهزة المهاجمين المحيطة.

ساهمت جامعة لوفين الكاثوليكية في كشف جوانب خفية من ضعف الأجهزة الذكية، حيث أثبتت أن السهولة في الاستخدام قد تأتي أحياناً على حساب الأمان، مما يفرض على شركات التكنولوجيا الموازنة بين سلاسة الاتصال وحصانة البيانات الشخصية للمشتركين.

يؤكد الخبراء أن عام 2026 سيشهد مزيداً من التحديات المتعلقة بإنترنت الأشياء IoT، حيث تصبح الملحقات البسيطة مثل السماعات مدخلاً لاختراق الخصوصية الشاملة، مما يتطلب وعياً مستمراً من المستخدمين بضرورة متابعة أخبار الثغرات والتحديثات الدورية.

تختتم Google جهودها في هذا الصدد بتطوير بروتوكول تشفير جديد، يمنع أي جهاز غير مسجل مسبقاً من إرسال أوامر صوتية أو تفعيل الميكروفون، وهو ما سيتم دمجه في النسخ القادمة من نظام Wear OS و Android لضمان حماية قصوى للمستخدمين.