O Google oferece um Aplicativo validador por meio da Play Retailer que os fornecedores devem executar como parte da certificação de seus produtos para usar o Quick Pair. De acordo com sua descrição, o aplicativo “valida se o Quick Pair foi implementado corretamente em um dispositivo Bluetooth”, produzindo relatórios sobre se um produto foi aprovado ou reprovado na avaliação de sua implementação do Quick Pair. Os pesquisadores destacam que todos os dispositivos que testaram em seu trabalho tiveram a implementação do Quick Pair certificada pelo Google. Isso significa, presumivelmente, que o aplicativo do Google os categorizou como atendendo aos requisitos, embora suas implementações apresentassem falhas perigosas. Além disso, os dispositivos Quick Cross certificados passam por testes em laboratórios selecionados pelo Google que analisam os relatórios de aprovação e avaliam diretamente as amostras de dispositivos físicos antes da fabricação em larga escala para confirmar se eles estão alinhados com o padrão Quick Pair.
O Google afirma que a especificação Quick Pair forneceu requisitos claros e que o aplicativo Validator foi projetado principalmente como uma ferramenta de suporte para os fabricantes testarem a funcionalidade principal. Após a divulgação dos pesquisadores da KU Leuven, a empresa afirma que adicionou novos testes de implementação voltados especificamente para os requisitos do Quick Pair.
Em última análise, dizem os pesquisadores, é difícil determinar se os problemas de implementação que levaram às vulnerabilidades do WhisperPair vieram de erros por parte dos fabricantes de dispositivos ou fabricantes de chips.
A WIRED entrou em contato com todos os fabricantes de chips que fabricam os chipsets usados pelos acessórios de áudio vulneráveis – Actions, Airoha, Bestechnic, MediaTek, Qualcomm e Realtek – mas nenhum respondeu. Em seus comentários à WIRED, a Xiaomi observou: “Confirmamos internamente que o problema que você mencionou foi causado por uma configuração fora do padrão dos fornecedores de chips em relação ao protocolo Google Quick Pair”. Airoha é a fabricante do chip usado no Redmi Buds 5 Professional que os pesquisadores identificaram como vulnerável.
Independentemente de quem é o culpado pelas vulnerabilidades do WhisperPair, os pesquisadores enfatizam que uma mudança conceitualmente simples na especificação do Quick Pair resolveria a questão mais basic por trás do WhisperPair: o Quick Pair deve impor criptograficamente os emparelhamentos pretendidos pelo proprietário do acessório e não permitir que um “proprietário” secundário e desonesto emparelhe sem autenticação.
Por enquanto, o Google e muitos fabricantes de dispositivos têm atualizações de software program prontas para corrigir vulnerabilidades específicas. Mas as instalações desses patches provavelmente serão inconsistentes, como quase sempre acontece na segurança da Web das Coisas. Os pesquisadores incentivam todos os usuários a atualizarem seus acessórios vulneráveis e direcionam os usuários para um website que eles criaram que fornece um lista pesquisável de dispositivos afetado pelo WhisperPair. Por falar nisso, eles dizem que todos deveriam usar o WhisperPair como um lembrete mais geral para atualizar todos os seus dispositivos de Web das Coisas.
A mensagem mais ampla da sua pesquisa, dizem eles, é que os fabricantes de dispositivos precisam priorizar a segurança ao adicionar recursos fáceis de usar. Afinal, o protocolo Bluetooth em si não continha nenhuma das vulnerabilidades descobertas – apenas o protocolo de um toque que o Google construiu sobre ele para tornar o emparelhamento mais conveniente.
“Sim, queremos facilitar a nossa vida e fazer com que os nossos dispositivos funcionem de forma mais integrada”, afirma Antonijević. “Conveniência não significa imediatamente menos segurança. Mas, na busca pela conveniência, não devemos negligenciar a segurança.”
