Через ваші бездротові навушники зловмисники можуть підслуховувати розмови

Експерти з кібербезпеки виявили серйозні вразливості у популярних бездротових навушниках Sony, JBL, Marshall та інших брендів. Ці "дірки" в захисті дозволяють зловмисникам перетворити звичайні навушники на підслуховуючі пристрої, інформує Ukr.Media.

Що сталося

Фахівці німецької компанії ERNW знайшли три критичні вразливості в Bluetooth-чіпах виробника Airoha. Ці чіпи масово використовуються у бездротових навушниках, колонках та мікрофонах багатьох відомих брендів.

Поки що проблему підтверджено у 29 моделях пристроїв від Beyerdynamic, Bose, Sony, Marshall, Jabra, JBL, Jlab, EarisMax, MoerLabs та Teufel.

Найпопулярніші моделі під загрозою:

Sony (найбільше постраждала):

• Навушники: WH-1000XM4/XM5/XM6, WH-CH520, ULT Wear, CH-720N;
• Вкладиші: WF-1000XM3/XM4/XM5, Link Buds S, WF-C500, WI-C100;

Marshall: MAJOR V, MINOR IV, MOTIF II, а також колонки ACTON III, STANMORE III, WOBURN III;

JBL: Endurance Race 2, Live Buds 3;

Bose: QuietComfort Earbuds;

Jabra: Elite 8 Active;

Це лише частина від понад 100 типів пристроїв, які можуть бути вразливими. Багато виробників навіть не знають, що використовують чіпи Airoha.

Як працює атака

Головна небезпека полягає в тому, що зловмисник може підключитися до ваших навушників без дозволу. Через недоліки в системі перевірки (так звана "відсутність аутентифікації") хакер може:

• Перехоплювати все, що передається між телефоном і навушниками, включно з голосом під час розмов;
• Втручатися в з'єднання та надсилати команди на ваш смартфон;
• Потенційно отримувати доступ до списку контактів.

Важливо: для такої атаки зловмисник повинен знаходитися поруч з вами — в радіусі до 20 метрів. Bluetooth не працює на великі відстані, тому "прослуховувати" вас з іншого міста неможливо.

Наскільки це небезпечно

Експерти дали цим вразливостям оцінку від 6,7 до 7,5 балів з 10 можливих. Це середній та високий рівень небезпеки, але не критичний.

Для звичайного користувача ризик не настільки великий, як може здатися. По-перше, атакувати можна лише з близької відстані. По-друге, для такого зламу потрібні спеціальні знання та обладнання.

Найбільша загроза існує для людей, які можуть стати ціллю спрямованих атак — бізнесменів, політиків, журналістів. У публічних місцях ризик випадкової прослушки мінімальний.

Що роблять виробники

Компанія Airoha вже знає про проблему і підготувала виправлення для своїх чіпів. Виробники навушників (Sony, JBL та інші) отримали ці "патчі" і готують оновлення прошивки для своїх пристроїв.

Поки що терміни випуску оновлень не оголошені, але вони мають з'явитися найближчим часом.

Що робити користувачам

1. Стежте за оновленнями — регулярно перевіряйте мобільний додаток вашого бренду навушників на наявність оновлень прошивки;

2. Будьте обережні з чутливими розмовами — якщо обговорюєте важливі справи, краще робити це не в публічних місцях;

3. Вимикайте Bluetooth, коли не користуєтеся навушниками для розмов;

4. Не панікуйте — для більшості користувачів реальний ризик залишається низьким.

Ця ситуація показує типову проблему сучасних "розумних" пристроїв: виробники часто концентруються на функціях, забуваючи про безпеку. Відсутність належної перевірки з'єднань на рівні протоколу — це базова помилка, якої можна було уникнути.

Для індустрії це нагадування про важливість ретельної перевірки коду перед випуском продукції, особливо коли йдеться про пристрої, що обробляють особисті дані користувачів.

Хоча загроза існує, своєчасна реакція виробника чіпів та підготовка виправлень показують, що система безпеки працює. Головне — встановлювати оновлення, коли вони з'являться.