O Google oferece: aplicativo validador Os fornecedores são obrigados a executar este serviço por meio da Play Store como parte da qualificação de seus produtos para usar o Fast Pair. De acordo com sua descrição, o aplicativo “verifica se o Fast Pair está implementado corretamente em um dispositivo Bluetooth” e gera um relatório sobre se o produto é aprovado ou reprovado na avaliação de implementação do Fast Pair. Os pesquisadores observam que as implementações do Fast Pair de todos os dispositivos testados no estudo foram certificadas pelo Google. Em outras palavras, provavelmente classificou o aplicativo do Google como atendendo aos seus requisitos, apesar da falha perigosa em sua implementação. Além disso, os dispositivos Fast Pass certificados passam por testes em laboratórios selecionados pelo Google que analisam os relatórios de aceitação e avaliam diretamente as amostras físicas dos dispositivos para garantir a conformidade com os padrões do Fast Pair antes da fabricação em grande escala.
O Google afirma que a especificação Fast Pair estabelece requisitos claros e o aplicativo Validator foi projetado principalmente como uma ferramenta para ajudar os fabricantes a testar a funcionalidade principal. Após a divulgação por pesquisadores da Universidade de Leuven, a empresa disse que adicionou novos testes de implementação especificamente adaptados aos requisitos do Fast Pair.
Em última análise, os pesquisadores dizem que é difícil determinar se o problema de implementação que levou à vulnerabilidade do WhisperPair foi devido a um erro por parte do fabricante do dispositivo ou do fabricante do chip.
A WIRED entrou em contato com todos os fabricantes de chips cujos chipsets são usados em acessórios de áudio vulneráveis (Actions, Airoha, Bestechnic, MediaTek, Qualcomm e Realtek), mas não recebeu resposta. Em um comentário à WIRED, a Xiaomi disse: “Confirmamos internamente que o problema que você mencionou foi causado por uma configuração fora do padrão do fornecedor do chip relacionada ao protocolo Google Fast Pair”. Airoha é a fabricante do chip usado no Redmi Buds 5 Pro que os pesquisadores identificaram como vulnerável.
Independentemente de quem é o responsável pela vulnerabilidade do WhisperPair, os pesquisadores enfatizam que uma mudança conceitualmente simples na especificação do Fast Pair pode resolver o problema mais fundamental por trás do WhisperPair. O Fast Pair deve impor criptograficamente o emparelhamento pretendido pelo proprietário do acessório e não permitir que um “proprietário” secundário não autorizado emparelhe sem autenticação.
Neste momento, o Google e muitos fabricantes de dispositivos estão preparando atualizações de software para corrigir certas vulnerabilidades. No entanto, como a segurança da Internet das Coisas é quase sempre inconsistente, a instalação destes patches pode ser inconsistente. Os pesquisadores incentivam todos os usuários a atualizar acessórios vulneráveis e direcioná-los para um site que eles criaram. Lista de dispositivos pesquisáveis Afetado pelo WhisperPair. Além disso, eles dizem que todos deveriam usar o WhisperPair como um lembrete mais geral para atualizar todos os seus dispositivos da Internet das Coisas.
Eles dizem que a mensagem mais ampla do estudo é que os fabricantes de dispositivos precisam priorizar a segurança ao adicionar recursos fáceis de usar. Acontece que o protocolo Bluetooth em si não continha nenhuma das vulnerabilidades descobertas, apenas o protocolo de um toque que o Google construiu sobre ele para tornar o emparelhamento mais conveniente.
“Sim, queremos facilitar a vida e fazer com que os dispositivos funcionem de forma mais integrada”, afirma Antonijević. “Conveniência não significa necessariamente menos segurança, mas não devemos ignorar a segurança na busca pela conveniência.”
