Theo kết quả nghiên cứu do Đại học KU Leuven (Bỉ) công bố, các lỗ hổng được gọi chung là WhisperPair ảnh hưởng đến hàng loạt tai nghe True Wireless của nhiều thương hiệu lớn như Bose, Sony, JBL, Marshall, Xiaomi hay Jabra. Những tai nghe bị ảnh hưởng hiện được đăng trên website WhisperPair.
Một số mẫu tai nghe True Wireless trên thị trường. Ảnh: TechRadar
Fast Pair ra mắt năm 2017, được đánh giá là câu trả lời của Google cho trải nghiệm AirPods liền mạch của Apple. Thực tế, nó đã tạo ra bước ngoặt cho hệ sinh thái Android khi đã biến quy trình ghép nối Bluetooth rườm rà, nhiều bước thành một thao tác một chạm. Tuy nhiên, sự dễ dàng này mở ra nguy cơ bảo mật.
Về cơ bản, Fast Pair cho phép smartphone nhận diện và ghép nối với tai nghe không dây lập tức. Tuy nhiên, do được thiết kế theo hướng thân thiện và nhanh chóng, nó không phải lúc nào cũng yêu cầu xác thực nghiêm ngặt - điều cần thiết phải có nhằm tăng tính bảo mật.
Vấn đề bắt nguồn từ các mẫu chip Bluetooth, trong đó nổi bật nhất là chip của Airoha Technology, vốn ưu tiên tốc độ kết nối nhanh hơn tạo các bước kiểm tra bảo mật. Nhóm nghiên cứu thử nghiệm 19 thiết bị khác nhau, chủ yếu dùng chip Airoha Technology, và nhận thấy 17 trong số đó "dễ bị tổn thương".
Theo nhóm, trong phạm vi của Bluetooth (bán kính khoảng 15 mét), kẻ xấu có thể lợi dụng lỗ hổng WhisperPair để tự động kết nối với thiết bị mà nạn nhân không hề hay biết. Sau khi kết nối, chúng có thể phát âm thanh qua loa, ghi âm từ micro của tai nghe hoặc theo dõi vị trí.
PhoneArena đánh giá, lỗ hổng bảo mật WhisperPair có thể bị lợi dụng ở nhiều mức độ khác nhau. Ở mức độ nhẹ, nó sẽ trở thành trò đùa của ai đó bằng cách bật nhạc quá to qua tai nghe. Mức cao hơn, quyền riêng tư và bảo mật của người dùng dễ bị xâm phạm. Với việc các thương hiệu lớn đang dùng Fast Pair và chip Airoha Technology, hàng triệu người có thể đối mặt nguy cơ bị tấn công.
Nhóm nghiên cứu cho biết, phần khó ở đây là quá trình khắc phục. Không giống như smartphone vốn thường xuyên nhắc người dùng cài đặt các bản cập nhật hệ thống, người dùng hiếm khi mở ứng dụng đi kèm tai nghe, thậm chí một số mẫu không có ứng dụng. Nghĩa là, hàng triệu người dùng có thể vẫn gặp rủi ro vì không biết đang có bản cập nhật đang "chờ đợi" họ. Do đó, nhóm khuyến cáo người dùng nên kiểm tra thường xuyên ứng dụng để cập nhật phiên bản phần mềm mới nhất cho tai nghe.
"Chúng tôi đã hợp tác với các nhà nghiên cứu để khắc phục các lỗ hổng bảo mật. Hiện chưa thấy bằng chứng nào về việc lỗ hổng bị khai thác ngoài phạm vi phòng thí nghiệm. Chúng tôi cũng liên tục đánh giá và tăng cường bảo mật cho Fast Pair", đại diện Google cho biết.
Airoha Technology và các hãng có sản phẩm bị ảnh hưởng chưa đưa ra bình luận.
Bảo Lâm (theo PhoneArena, WhisperPair)
