Une faille de sécurité détectée dans le protocole Fast Pair, qui permet un couplage rapide dans l'écosystème Android de Google, affecte 17 modèles différents de casques et d'enceintes, y compris des marques populaires. Selon les informations partagées par Wired, la vulnérabilité en question peut permettre à des acteurs malveillants de se connecter à des appareils à portée Bluetooth sans autorisation et d'accéder au microphone. La vulnérabilité est due à une mise en œuvre incorrecte du protocole Google Fast Pair par certains fabricants.
Cette vulnérabilité, découverte par des chercheurs du groupe Sécurité informatique et cryptographie industrielle de l'Université KU Leuven en Belgique, est définie comme « WhisperPair ». Les chercheurs affirment que l’attaquant n’a besoin que du numéro de modèle de l’appareil et de quelques secondes. En conséquence, un attaquant à portée Bluetooth peut se connecter à un casque ou à un haut-parleur sans autorisation.
Comment fonctionne la vulnérabilité affectant le système Google Fast Pair ?
Selon Sayon Duttagupta, l'un des membres de l'équipe de recherche, l'appareil peut être saisi même lorsque l'utilisateur écoute de la musique dans la rue. Dans ce scénario, l'attaquant peut activer le microphone à distance pour écouter les sons ambiants, injecter du son dans l'appareil et effectuer un suivi de localisation. Cependant, le système Fast Pair est uniquement censé autoriser de nouvelles connexions vers des appareils en mode appairage. Cependant, le fait que certains fabricants de matériel n'implémentent pas correctement ce processus conduit à l'émergence de la vulnérabilité.
Google confirme que des chercheurs en sécurité ont signalé le problème en août et que des études ont été menées sur le sujet depuis lors. Dans la déclaration faite par la société à Engadget, il est indiqué que la vulnérabilité est causée par des erreurs d'application de certains partenaires commerciaux plutôt que par le protocole Fast Pair. Malgré cela, Google ajoute qu'il n'y a aucune preuve que la vulnérabilité soit exploitée en dehors de l'environnement du laboratoire.
Les chercheurs soulignent que le risque ne se limite pas aux seuls utilisateurs d’Android. Si un accessoire audio n'a jamais été associé à un compte Google auparavant, l'attaquant peut connecter l'appareil à son compte via WhisperPair. Cela permet de suivre la localisation de l'appareil et donc de l'utilisateur via le service Find Hub de Google. Bien que Google affirme avoir publié un correctif pour ce scénario du côté de Find Hub, les chercheurs rapportent avoir identifié une nouvelle voie de migration en peu de temps.
Les 17 appareils concernés appartiennent à 10 marques différentes certifiées Google Fast Pair. Ces marques incluent Sony, Jabra, JBL, Marshall, Xiaomi, Nothing, OnePlus, Soundcore, Logitech et Google. Google indique que les modèles Pixel Buds sont protégés par les mises à jour. D'autre part, OnePlus explique qu'il examine le problème et que les mesures nécessaires seront prises pour assurer la sécurité des utilisateurs.
Les chercheurs recommandent aux utilisateurs de mettre régulièrement à jour leurs écouteurs et haut-parleurs. On constate cependant que de nombreux utilisateurs n’installent pas les applications constructeurs et ne connaissent donc pas les correctifs de sécurité. Cette situation met une fois de plus en évidence l’importance des mises à jour logicielles des appareils audio Bluetooth.
