Vulnerabilidade no sistema Fast Pair do Google pode afetar centenas de milhões de acessórios Bluetooth

O Fast Pair foi desenvolvido para tornar quase instantânea a conexão de acessórios Bluetooth a dispositivos Android. No entanto, pesquisadores de segurança alertam que centenas de milhões de fones de ouvido sem fio, headphones e caixas de som podem estar vulneráveis a sequestros silenciosos devido a uma falha neste sistema.

Em teoria, dispositivos compatíveis deveriam aceitar novos pedidos de pareamento apenas quando o usuário os coloca explicitamente em modo de pareamento. Na prática, porém, diversos produtos aceitam novas conexões a qualquer momento.

Essa falha abre espaço para que atacantes dentro do alcance do Bluetooth se conectem e pareiem seus próprios dispositivos, mesmo que o acessório já esteja sendo utilizado por outra pessoa, e passem a ter o mesmo nível de acesso do dono legítimo. Isso pode permitir a injeção ou interrupção de áudio, a manipulação do volume ou a ativação do microfone.

Os pesquisadores também apontam que, se o invasor conseguir parear o acessório antes do proprietário, ele pode registrá-lo em sua própria conta do Google e rastreá-lo por meio do Encontre Meu Dispositivo.

De acordo com a análise, o problema não está no Bluetooth em si, mas em implementações incompletas ou descuidadas da especificação do Fast Pair por parte dos fabricantes.

O Google afirma que foi informado sobre a vulnerabilidade e que vem trabalhando com os fabricantes para corrigir o problema. Algumas atualizações já começaram a ser distribuídas na forma de firmware, mas muitos acessórios mais baratos não recebem esse tipo de atualização ou dependem de aplicativos dos próprios fabricantes, que a maioria dos usuários raramente utiliza.