Cảnh báo hàng trăm triệu tai nghe có thể bị chiếm quyền và theo dõi

3 giờ trướcBài gốc

Mới đây, các nhà nghiên cứu bảo mật từ Đại học KU Leuven (Bỉ) đã công bố một phát hiện chấn động về lỗ hổng an ninh mang tên "WhisperPair".

Lỗ hổng này nằm ngay trong cơ chế của Google Fast Pair, một tính năng phổ biến giúp kết nối nhanh các thiết bị Bluetooth với điện thoại Android chỉ bằng một cú chạm.

Theo báo cáo, hàng trăm triệu thiết bị âm thanh từ các thương hiệu lớn như Sony, JBL, Xiaomi hay cả Google đều có thể trở thành nạn nhân của cuộc tấn công này nếu chưa được cập nhật phần mềm.

Fast Pair vốn được Google thiết kế để tối ưu hóa sự tiện lợi, giúp người dùng bỏ qua các bước cài đặt rườm rà truyền thống. Tuy nhiên, chính sự ưu tiên cho tính tiện dụng này đã vô tình tạo ra một kẽ hở chết người.

Theo nguyên tắc bảo mật, một thiết bị Bluetooth chỉ nên chấp nhận yêu cầu kết nối mới khi người dùng chủ động kích hoạt chế độ ghép đôi (pairing mode). Thế nhưng, nhóm nghiên cứu phát hiện ra rằng rất nhiều dòng tai nghe và loa hiện nay đã bỏ qua bước kiểm tra quan trọng này. Hậu quả là kẻ tấn công có thể ép thiết bị của bạn kết nối với điện thoại của chúng mà không cần bạn cho phép, ngay cả khi bạn đang sử dụng thiết bị đó để nghe nhạc.

Kịch bản tấn công của WhisperPair khá đơn giản nhưng nguy hiểm. Kẻ xấu chỉ cần đứng trong phạm vi kết nối Bluetooth (khoảng 14 mét) là có thể thực hiện hành vi xâm nhập trong vòng chưa đầy 10 giây.

Một khi đã chiếm được quyền điều khiển, chúng có thể tự do tăng giảm âm lượng, đổi bài hát hoặc phát những âm thanh gây khó chịu. Nghiêm trọng hơn, nếu thiết bị của bạn có tích hợp microphone, tin tặc hoàn toàn có thể kích hoạt nó để nghe lén các cuộc hội thoại xung quanh mà nạn nhân không hề hay biết.

Mối nguy hiểm không chỉ dừng lại ở việc quấy rối hay nghe lén. Các chuyên gia còn cảnh báo về khả năng theo dõi vị trí cực kỳ tinh vi. Nếu kẻ tấn công kết nối thành công với tai nghe của bạn trước hoặc thêm thiết bị đó vào tài khoản Google của chúng, chúng có thể lợi dụng mạng lưới Find My Device (Tìm thiết bị của tôi) của Google để định vị bạn.

Lúc này, chiếc tai nghe trở thành một thiết bị định vị gắn liền với người dùng, gửi dữ liệu vị trí về cho kẻ xấu bất cứ nơi nào bạn đi qua.

Danh sách các thiết bị bị ảnh hưởng rất dài, bao gồm nhiều mẫu sản phẩm cao cấp và phổ biến trên thị trường. Google đã xác nhận vấn đề này và nhanh chóng tung ra các bản vá lỗi cho dòng tai nghe Pixel Buds của hãng, cũng như cập nhật hệ thống máy chủ để ngăn chặn việc lợi dụng tính năng định vị. Tuy nhiên, đối với các thiết bị từ bên thứ ba như Sony hay JBL, việc khắc phục phụ thuộc hoàn toàn vào hành động của nhà sản xuất.

Để bảo vệ bản thân trước nguy cơ này, người dùng được khuyến cáo nên kiểm tra và cập nhật phần mềm (firmware) cho tai nghe hoặc loa Bluetooth của mình ngay lập tức thông qua ứng dụng quản lý trên điện thoại. Đây là lời nhắc nhở đắt giá về việc sự tiện lợi trong công nghệ đôi khi phải đánh đổi bằng những rủi ro an ninh không lường trước được.

Việt Vũ

Nguồn Pháp Luật VN : https://baophapluat.vn/canh-bao-hang-tram-trieu-tai-nghe-co-the-bi-chiem-quyen-va-theo-doi.html