NOVOAgora você pode ouvir os artigos da Fox Information!
O Google projetou o Quick Pair para tornar as conexões Bluetooth rápidas e sem esforço. Um toque substitui menus, códigos e emparelhamento handbook. Essa conveniência agora traz sérios riscos. Pesquisadores de segurança da KU Leuven descobriram falhas no protocolo Quick Pair do Google que permite o controle silencioso de dispositivos. Eles chamaram o método de ataque de WhisperPair. Um invasor próximo pode se conectar a fones de ouvido ou alto-falantes sem que o proprietário saiba. Em alguns casos, o invasor também pode rastrear a localização do usuário. Ainda mais preocupante, as vítimas não precisam usar o Android nem possuir nenhum produto do Google. Os usuários do iPhone também são afetados.
Inscreva-se para receber meu relatório CyberGuy GRATUITO
Receba minhas melhores dicas técnicas, alertas de segurança urgentes e ofertas exclusivas diretamente em sua caixa de entrada. Além disso, você terá acesso instantâneo ao meu Final Rip-off Survival Information – gratuitamente ao ingressar no meu CYBERGUY.COM boletim informativo.
APPLE AVISA QUE MILHÕES DE IPHONES ESTÃO EXPOSTOS A ATAQUES
O Quick Pair torna a conexão de fones de ouvido Bluetooth rápida, mas os pesquisadores descobriram que alguns dispositivos aceitam novos emparelhamentos sem a devida autorização. (Kurt “CyberGuy” Knutsson)
O que é o WhisperPair e como ele sequestra dispositivos Bluetooth
O Quick Pair funciona transmitindo a identidade de um dispositivo para telefones e computadores próximos. Esse atalho acelera o emparelhamento. Os pesquisadores descobriram que muitos dispositivos ignoram uma regra elementary. Eles ainda aceitam novos pares enquanto já estão conectados. Isso abre a porta para o abuso.
Dentro do alcance do Bluetooth, um invasor pode emparelhar silenciosamente um dispositivo em cerca de 10 a 15 segundos. Uma vez conectados, eles podem interromper chamadas, injetar áudio ou ativar microfones. O ataque não requer {hardware} especializado e pode ser realizado usando um telefone padrão, laptop computer ou dispositivo de baixo custo como Raspberry Pi. Segundo os pesquisadores, o invasor torna-se efetivamente o proprietário do dispositivo.
Marcas de áudio afetadas pela vulnerabilidade Quick Pair
Os pesquisadores testaram 17 dispositivos compatíveis com Quick Pair de grandes marcas, incluindo Sony, Jabra, JBL, Marshall, Xiaomi, Nothing, OnePlus, Soundcore, Logitech e Google. A maioria desses produtos passou nos testes de certificação do Google. Esse detalhe levanta questões incômodas sobre como as verificações de segurança são realizadas.
Como os fones de ouvido podem se tornar dispositivos de rastreamento
Alguns modelos afetados criam um problema de privacidade ainda maior. Certos dispositivos Google e Sony integram-se ao Discover Hub, que utiliza dispositivos próximos para estimar a localização. Se um fone de ouvido nunca tiver sido vinculado a uma conta do Google, um invasor poderá reivindicá-lo primeiro. Isso permite o rastreamento contínuo dos movimentos do usuário. Se a vítima receber posteriormente um alerta de rastreamento, pode parecer que ele faz referência ao seu próprio dispositivo. Isso torna o aviso fácil de descartar como um erro.
GOOGLE NEST AINDA ENVIA DADOS APÓS CORTE DO CONTROLE REMOTO, DESCOBRIU PESQUISADOR
Painel do invasor com localização da rede Discover Hub. (KU Leuven)
Por que muitos dispositivos Quick Pair podem permanecer vulneráveis
Há outro problema que a maioria dos usuários nunca considera. Fones de ouvido e alto-falantes requerem atualizações de firmware. Essas atualizações geralmente chegam por meio de aplicativos específicos da marca que muitas pessoas nunca instalam. Se você nunca baixar o aplicativo, nunca verá a atualização. Isso significa que os dispositivos vulneráveis podem permanecer expostos durante meses ou até anos.
A única maneira de corrigir esta vulnerabilidade é instalando uma atualização de software program emitida pelo fabricante do dispositivo. Embora muitas empresas tenham lançado patches, as atualizações podem ainda não estar disponíveis para todos os modelos afetados. Os usuários devem verificar diretamente com o fabricante para confirmar se existe uma atualização de segurança para seu dispositivo específico.
Por que a conveniência continua criando brechas de segurança
O próprio Bluetooth não period o problema. A falha reside na camada de conveniência construída sobre ela. O Quick Pair priorizou a velocidade em vez da aplicação estrita de propriedade. Os pesquisadores argumentam que o emparelhamento deveria exigir prova criptográfica de propriedade. Sem ele, os recursos de conveniência tornam-se superfícies de ataque. Segurança e facilidade de uso não precisam entrar em conflito. Mas eles devem ser projetados juntos.
Google responde às falhas de segurança do Quick Pair WhisperPair
O Google afirma que tem trabalhado com pesquisadores para resolver as vulnerabilidades do WhisperPair e começou a enviar patches recomendados aos fabricantes de fones de ouvido no início de setembro. O Google também confirmou que seus próprios fones de ouvido Pixel agora estão corrigidos.
Em uma declaração ao CyberGuy, um porta-voz do Google disse: “Agradecemos a colaboração com pesquisadores de segurança por meio de nosso Programa de Recompensas de Vulnerabilidade, que ajuda a manter nossos usuários seguros. Trabalhamos com esses pesquisadores para corrigir essas vulnerabilidades e não vimos evidências de qualquer exploração fora do ambiente de laboratório deste relatório.
O Google diz que o problema principal resultou de alguns fabricantes de acessórios que não seguiram totalmente a especificação Quick Pair. Essa especificação exige que os acessórios aceitem solicitações de emparelhamento somente quando um usuário tiver colocado intencionalmente o dispositivo no modo de emparelhamento. Segundo o Google, a falha na aplicação dessa regra contribuiu para os riscos de áudio e microfone identificados pelos pesquisadores.
Para reduzir o risco no futuro, o Google afirma que atualizou seu validador de par rápido e os requisitos de certificação para testar explicitamente se os dispositivos aplicam adequadamente as verificações do modo de emparelhamento. O Google também afirma que forneceu aos parceiros acessórios correções destinadas a resolver totalmente todos os problemas relacionados, uma vez aplicadas.
No que diz respeito ao rastreamento de localização, o Google diz que lançou uma correção no servidor que impede que acessórios sejam registrados silenciosamente na rede Discover Hub se nunca tiverem sido emparelhados com um dispositivo Android. Segundo a empresa, essa mudança aborda o risco de rastreamento do Discover Hub nesse cenário específico em todos os dispositivos, incluindo os próprios acessórios do Google.
Os pesquisadores, no entanto, levantaram questões sobre a rapidez com que os patches chegam aos usuários e quanta visibilidade o Google tem sobre abusos no mundo actual que não envolvem o {hardware} do Google. Argumentam também que as deficiências na certificação permitiram que implementações defeituosas chegassem ao mercado em grande escala, sugerindo questões sistémicas mais amplas.
Por enquanto, tanto o Google quanto os pesquisadores concordam em um ponto-chave. Os usuários devem instalar atualizações de firmware do fabricante para serem protegidos, e a disponibilidade pode variar de acordo com o dispositivo e a marca.
MEDOS DE HACKING EM CASA INTELIGENTE: O QUE É REAL E O QUE É HYPE
Notificação de rastreamento indesejada mostrando o próprio dispositivo da vítima. (KU Leuven)
Como reduzir seu risco agora
Você não pode desativar totalmente o Quick Pair, mas pode diminuir sua exposição.
1) Verifique se o seu dispositivo foi afetado
Se você usar um acessório Bluetooth compatível com Google Quick Pair, incluindo fones de ouvido, fones de ouvido ou alto-falantes sem fio, você poderá ser afetado. Os pesquisadores criaram uma ferramenta de pesquisa pública que permite pesquisar o modelo específico do seu dispositivo e ver se ele é vulnerável. Verificar seu dispositivo é um primeiro passo simples antes de decidir quais ações tomar. Visita Whisperpair.eu/vulnerable-devices para ver se o seu dispositivo está na lista.
2) Atualize seus dispositivos de áudio
Instale o aplicativo oficial do fabricante do seu fone de ouvido ou alto-falante. Verifique se há atualizações de firmware e aplique-as imediatamente.
3) Evite emparelhar em locais públicos
Emparelhe novos dispositivos em espaços privados. Evite emparelhar em aeroportos, cafés ou academias onde haja estranhos por perto.
4) Redefinição de fábrica se algo parecer errado
Interrupções inesperadas de áudio, sons estranhos ou queda de conexões são sinais de alerta. Uma redefinição de fábrica pode remover emparelhamentos não autorizados, mas não corrige a vulnerabilidade subjacente. Uma atualização de firmware ainda é necessária.
5) Desligue o Bluetooth quando não for necessário
O Bluetooth só precisa estar ligado durante o uso ativo. Desligar o Bluetooth quando não estiver em uso limita a exposição, mas não elimina o risco subjacente se o dispositivo permanecer sem correção.
6) Redefinir dispositivos usados
Sempre redefina os fones de ouvido ou alto-falantes usados antes de emparelhá-los. Isso take away hyperlinks ocultos e associações de contas.
7) Leve a sério os alertas de rastreamento
Investigue os alertas de rastreamento do Discover Hub ou da Apple, mesmo que pareçam fazer referência ao seu próprio dispositivo.
8) Mantenha seu telefone atualizado
Instale atualizações do sistema operacional imediatamente. Patches de plataforma podem bloquear caminhos de exploração mesmo quando os acessórios ficam para trás.
Principais conclusões de Kurt
WhisperPair mostra como pequenos atalhos podem levar a grandes falhas de privacidade. Os fones de ouvido parecem inofensivos. No entanto, eles contêm microfones, rádios e softwares que precisam de cuidados e atualizações. Ignorá-los deixa um ponto cego que os invasores ficarão felizes em explorar. Manter-se seguro agora significa prestar atenção aos dispositivos que você antes considerava garantidos.
As empresas deveriam ser autorizadas a priorizar o emparelhamento rápido em vez da prova criptográfica de propriedade do dispositivo? Informe-nos escrevendo para nós em Cyberguy.com
CLIQUE AQUI PARA BAIXAR O APLICATIVO FOX NEWS
Inscreva-se para receber meu relatório CyberGuy GRATUITO
Receba minhas melhores dicas técnicas, alertas de segurança urgentes e ofertas exclusivas diretamente em sua caixa de entrada. Além disso, você terá acesso instantâneo ao meu Final Rip-off Survival Information – gratuitamente ao ingressar no meu CYBERGUY.COM boletim informativo.
Direitos autorais 2026 CyberGuy.com. Todos os direitos reservados.
