ثغرة في أجهزة Google Fast Pair تتيح للهاكرز التجسس

اكتشف باحثو الأمن ثغرة تُدعى WhisperPair في 17 جهاز صوتي يستخدم بروتوكول Google Fast Pair، مما يمكن الهاكرز من الوصول إلى الميكروفونات وتتبع المواقع ضمن نطاق البلوتوث. تؤثر الثغرة على منتجات من 10 مصنعين، بما في ذلك سوني وغوغل، وتنبع من تنفيذ غير صحيح لمعيار الاقتران. تعاونت غوغل مع الباحثين لمعالجة المشكلة، على الرغم من أن الإصلاحات الكاملة تعتمد على شركاء الأجهزة.

كشف فريق من الباحثين من جامعة KU Leuven في بلجيكا عن ثغرة WhisperPair في 15 يناير 2026، والتي تؤثر على 17 نموذجًا من السماعات والمكبرات الصوتية المعتمدة لـبروتوكول Google Fast Pair. هذه الميزة للاقتران بلمسة واحدة، المصممة لتبسيط اتصالات البلوتوث، تم تنفيذها بشكل غير صحيح من قبل بعض شركاء الأجهزة، مما يسمح باقترانات غير مصرح بها حتى خارج وضع الاقتران. يتطلب الهجوم أن يكون الهاكر ضمن نطاق البلوتوث —حتى 14 مترًا— ويعرف رقم طراز الجهاز، الذي يسهل الحصول عليه. يستغرق الأمر متوسط 10 ثوانٍ، أو أقل من 15 في بعض الحالات، للاستيلاء على الجهاز. كما شرح باحث KU Leuven Sayon Duttagupta لـWired: «أنت تمشي في الشارع مع سماعاتك، تستمع إلى موسيقى. في أقل من 15 ثانية، يمكننا الاستيلاء على جهازك. مما يعني أنني أستطيع تشغيل الميكروفون والاستماع إلى الأصوات المحيطة. يمكنني حقن صوت. يمكنني تتبع موقعك». بمجرد الاتصال، يمكن للمهاجمين مقاطعة تدفقات الصوت، تشغيل أصواتهم الخاصة، التجسس عبر الميكروفون، أو استخدام Find Hub الخاص بغوغل لتتبع موقع الجهاز. تنطبق الثغرة حتى على مستخدمي غير أندرويد إذا لم يتم ربط الجهاز بحساب غوغل، مما قد يسمح للهاكرز بربطه بحسابهم الخاص. أخطر الباحثون غوغل في أغسطس 2025، مما دفع إلى تعاون من خلال برنامج مكافآت الثغرات. قدمت غوغل إصلاحات للشركاء في سبتمبر 2025 وحدثت شبكة Find Hub، لكن الفريق وجد حلاً بديلاً بسرعة. قال متحدث باسم غوغل: «نقدر التعاون مع باحثي الأمن... عملنا مع هؤلاء الباحثين لإصلاح هذه الثغرات، ولم نرَ دليلاً على استغلال خارج إعداد المختبر في هذا التقرير. كأفضل ممارسة أمنية، نوصي المستخدمين بالتحقق من تحديثات البرمجيات الثابتة الأحدث لسماعاتهم». تشمل الشركات المصنعة المتضررة سوني، جابرا، JBL، مارشال، شاومي، ناثينغ، ون بلس، ساوندكور، لوجيتيك، وغوغل. حصلت Pixel Buds من غوغل على تصحيحات، بينما يحقق ون بلس. لا يمكن تعطيل الثغرة، وقد يظل العديد من المستخدمين عرضة للخطر دون تثبيت تطبيقات الشركات المصنعة للتحديثات. ينصح الباحثون بالتحقق الدوري من البرمجيات الثابتة وإعادة التعيين المصنعي إذا اشتبه في الاختراق، مشيرين إلى عدم وجود استغلالات حقيقية معروفة حتى الآن.

مقالات ذات صلة

Illustration of a person checking their phone for a spoofed call warning on Android, highlighting Google's new deepfake detection feature.
صورة مولدة بواسطة الذكاء الاصطناعي

Google adds detection for spoofed calls to Android phones

من إعداد الذكاء الاصطناعي صورة مولدة بواسطة الذكاء الاصطناعي

Google is rolling out a new feature to Android devices that detects impersonation scams involving spoofed calls. The update targets the rising threat of AI-generated deepfake voices in financial fraud. It begins deploying this month on phones running Android 12 and higher.

A researcher has shown that the Sound Blaster Katana V2X speaker from Creative Technologies can be used to infect a connected computer with malicious commands over Bluetooth. The attack requires no pairing and works even without physical access to the device.

من إعداد الذكاء الاصطناعي

A vulnerability in Google Gemini on Android allowed crafted notifications from apps like WhatsApp and Slack to manipulate the AI's responses and connected tools. The issue, discovered by SafeBreach, has been addressed through server-side changes.

يستخدم هذا الموقع ملفات تعريف الارتباط

نستخدم ملفات تعريف الارتباط للتحليلات لتحسين موقعنا. اقرأ سياسة الخصوصية الخاصة بنا سياسة الخصوصية لمزيد من المعلومات.
رفض