Lỗ hổng này có thể khiến tai nghe Bluetooth bị chiếm quyền trong vài giây
Không cần cài ứng dụng lạ hay nhấn vào liên kết độc hại, tai nghe Bluetooth vẫn có thể bị chiếm quyền thông qua tính năng Fast Pair.
Tính năng Google Fast Pair là gì?
Fast Pair là một tính năng do Google phát triển, được tích hợp trên các thiết bị chạy Android, giúp người dùng ghép đôi tai nghe Bluetooth và phụ kiện chỉ trong vài giây mà không cần vào sâu bên trong phần cài đặt.
Cụ thể, khi một chiếc tai nghe hoặc thiết bị hỗ trợ Fast Pair được bật và đặt gần điện thoại Android, màn hình sẽ tự động hiển thị thông báo ghép đôi. Người dùng chỉ cần chạm một lần để kết nối, thay vì phải bật Bluetooth, tìm tên thiết bị và xác nhận thủ công như trước.
Tai nghe Bluetooth có thể bị chiếm quyền thông qua tính năng Google Fast Pair. Ảnh: Techspot
Tiện lợi quá mức lại trở thành lỗ hổng bị khai thác
Ban đầu tin tặc sẽ tạo ra một thiết bị Bluetooth giả, phát tín hiệu giống như một tai nghe hỗ trợ Fast Pair. Khi điện thoại Android ở gần, hệ thống có thể nhầm thiết bị giả này là tai nghe hợp lệ và tự động ghép đôi.
Khi cuộc tấn công thành công, tin tặc có thể chiếm quyền kết nối Bluetooth, theo dõi hoặc can thiệp vào luồng âm thanh, thậm chí lợi dụng kết nối để làm bàn đạp cho các hành vi tấn công tiếp theo. Đáng lo ngại hơn, người dùng gần như không nhận được cảnh báo rõ ràng nào trong quá trình này.
Theo TechSpot, lỗ hổng không chỉ ảnh hưởng đến một mẫu tai nghe cụ thể, mà liên quan đến cách Fast Pair được triển khai trên nhiều thiết bị Android và tai nghe hỗ trợ tính năng này. Lỗ hổng này được cho ảnh hưởng đến các thiết bị của ít nhất 10 công ty lớn, bao gồm Google, Sony, JBL, Jabra, Xiaomi và OnePlus.
Google đã được thông báo về vấn đề và cho biết đang làm việc với các đối tác để khắc phục. Tuy nhiên, giống như nhiều lỗ hổng liên quan đến Bluetooth, việc vá lỗi không thể diễn ra ngay lập tức trên tất cả thiết bị, do phụ thuộc vào nhà sản xuất phần cứng lẫn bản cập nhật phần mềm.
Do đó, trong thời gian chờ bản vá, các chuyên gia khuyến cáo người dùng nên cẩn trọng hơn khi sử dụng Fast Pair, đặc biệt ở nơi công cộng. Việc tắt Bluetooth khi không cần thiết, hoặc hạn chế ghép nối tự động, có thể giúp giảm nguy cơ bị tấn công.
Trong những năm gần đây, nhiều tính năng kết nối nhanh, từ Bluetooth đến WiFi hay NFC, đều từng bị phát hiện điểm yếu tương tự. Đối với người dùng, bài học rút ra là không nên mặc định tin tưởng mọi kết nối tự động. Ngay cả những tính năng đến từ các nền tảng lớn như Google cũng có thể tồn tại rủi ro nếu bị khai thác đúng cách.
