Necesitarás instalar un parche del fabricante de tu dispositivo para solucionarlo
Si tienes un dispositivo Android y usas auriculares inalámbricos, quítatelos un momento y presta atención: como informó WIRED por primera vez, millones de dispositivos de audio de marcas reconocidas como Sony, JBL, Anker, Sonos e incluso el propio Google se enfrentan a una grave vulnerabilidad de seguridad que podría permitir a los hackers espiar tus conversaciones o rastrear tu ubicación. Hay maneras de solucionar el problema, pero tendrás que superar algunos obstáculos.
Cómo funciona el ataque "WhisperPair"
La vulnerabilidad, descubierta inicialmente por el Grupo de Seguridad Informática y Criptografía Industrial de la Universidad KU Leuven de Bélgica, se denomina "WhisperPair".
Aprovecha la función Fast Pair de Android, que permite cómodas conexiones con un solo toque a dispositivos Bluetooth cercanos, de forma similar a lo que podría aparecer en la pantalla de tu iPhone al abrir el estuche de tus AirPods cerca.
Desafortunadamente, según los investigadores, han descubierto que es posible que un atacante malicioso secuestre el proceso de emparejamiento, obteniendo una ventana oculta en tu dispositivo de audio, pero permitiéndole conectarlo a tu teléfono o tableta, sin que te enteres.
"Estás caminando por la calle con los auriculares puestos, escuchando música. En menos de 15 segundos, podemos secuestrar tu dispositivo", dijo a WIRED el investigador de la KU Leuven, Sayon Duttagupta.
Vale, entonces un hacker puede escucharte con tus auriculares. ¡Menuda sorpresa! Pero sí, de verdad. ¡Menuda sorpresa!
Cómo te pone en riesgo esto
Una vez que un hacker se empareja con su dispositivo de audio, puede usarlo para espiar tus micrófonos, escuchar cualquier conversación privada que pueda salir de tus altavoces, reproducir su propio audio al volumen que desee y, si tu dispositivo es compatible con Google Find Hub, posiblemente incluso rastrear su ubicación.
Esta última vulnerabilidad es la que más me preocupa, aunque también es la más difícil de explotar para los hackers. De momento, solo se ha documentado en los Google Pixel Buds Pro 2 y cinco productos Sony, y requiere que no los hayas conectado previamente a un dispositivo Android ni los hayas emparejado con una cuenta de Google.
Aun así, incluso sin seguimiento de ubicación, ciertamente no es ideal para un hacker tener acceso en todo momento a un micrófono en tu casa.
Cómo protegerse
Los investigadores se pusieron en contacto con Google, que presentó una serie de soluciones recomendadas, pero aquí es donde surgen los problemas: los fabricantes de accesorios deben implementar estas soluciones de forma individual y es probable que sea necesario instalarlas manualmente.
La forma en que se verá varía según el dispositivo. JBL, por ejemplo, declaró a WIRED que ha comenzado a enviar actualizaciones inalámbricas para solucionar la vulnerabilidad, mientras que Logitech afirmó haber "integrado un parche de firmware para las próximas unidades de producción".
Para asegurarte de recibir las correcciones de tu dispositivo cuando se implementen, el investigador que descubrió WhisperPair sugiere descargar la aplicación correspondiente, algo que la mayoría de los dispositivos de audio ofrecen actualmente. "Si no tienes la aplicación de Sony, nunca sabrás que hay una actualización de software para tus auriculares Sony", declaró a WIRED el investigador de la Universidad Católica de Lovaina, Seppe Wyns.
Lo bueno es que si tienes un dispositivo de audio de Google afectado, no deberías tener problemas: la compañía afirma que ya ha enviado soluciones. Lamentablemente, Google no es mágico.
La compañía también afirmó que intentó actualizar Find Hub para bloquear la vulnerabilidad de rastreo de ubicación en todos los dispositivos, independientemente de si el fabricante los ha actualizado o no. Lamentablemente, los investigadores de la KU Leuven afirmaron que lograron sortear esa solución universal en pocas horas.
Lamentablemente, Fast Pair no se puede desactivar, así que hasta que el fabricante de tu dispositivo publique su propia actualización, será vulnerable. Puedes activar un botón de pánico si notas un comportamiento inusual mientras tanto, ya que, según los investigadores, restablecer tu dispositivo de audio a la configuración de fábrica eliminará cualquier posible intento de hackers. Desafortunadamente, esto sigue dejándolo vulnerable a nuevos hackers en el futuro.
El riesgo es real, pero por ahora es principalmente teórico
El lado positivo es que, si bien las preocupaciones son bastante reales, Google afirma que aún no hay que preocuparse demasiado. La compañía declaró a WIRED que no ha visto ninguna evidencia de explotación fuera del laboratorio de este informe. Esto significa que los investigadores en cuestión podrían ser los primeros en descubrir WhisperPair, aunque ellos mismos están siendo más cautelosos, ya que cuestionan la capacidad de Google para observar el secuestro de audio en dispositivos de otras compañías.
Dicho esto, si eres un presumido usuario de iPhone que lee esto, no deberías sentirte demasiado tranquilo: WhisperPair también podría afectarte. Aunque la vulnerabilidad no puede originarse en un dispositivo Apple, si conectas un dispositivo Android ya hackeado a tu iPhone o iPad, te encuentras en la misma situación.
Cómo saber si estás en riesgo
Ojalá pudiera ofrecer una solución sencilla que reforzara al instante la seguridad de todos tus dispositivos, pero, por desgracia, protegerte de WhisperPair requiere cierta vigilancia por tu parte, en particular, estar atento a las actualizaciones del fabricante de tu dispositivo.
Para comprobar si te afecta la vulnerabilidad de WhisperPair, visita el sitio web de los investigadores y busca tu dispositivo. Allí encontrarás información sobre el fabricante, si es vulnerable y qué puedes hacer para solucionarlo. Ten en cuenta que la lista corta que aparece en la barra de búsqueda no incluye todos los dispositivos vulnerables, así que no des por sentado que estás a salvo solo porque no veas el tuyo; búscalo primero.
