Para peneliti di Universitas KU Leuven, Belgia, memperingatkan pengguna produk audio Bluetooth bahwa perangkat mereka berisiko akibat kerentanan dalam teknologi Fast Pair milik Google, fitur yang dirancang untuk mempercepat dan mempermudah penyambungan perangkat Bluetooth.
Google menyatakan telah menangani masalah yang memungkinkan peretas membajak perangkat audio dan melacak lokasinya. Namun, para peneliti mengatakan kerentanan yang mereka sebut sebagai WhisperPair ini masih memengaruhi produk dari berbagai produsen, termasuk Sony, Harman, dan Google sendiri. Dalam pengujian, kerentanan ini dapat dieksploitasi dari jarak hingga sekitar 14 meter.
Seorang perwakilan Google kepada CNET menyebutkan bahwa perusahaan telah memperbarui perangkat lunak untuk beberapa produk audionya, seperti Pixel Buds Pro. Dijelaskan juga bahwa sebagian kerentanan berasal dari ketidakpatuhan perusahaan lain terhadap spesifikasi Fast Pair. Google telah menginformasikan hal ini kepada perusahaan-perusahaan terkait sejak September.
Jangan lewatkan konten teknologi objektif dan ulasan berbasis lab kami. Tambahkan CNET sebagai sumber pilihan di Google.
“Kami menghargai kolaborasi dengan peneliti keamanan melalui Program Penghargaan Kerentanan, yang membantu melindungi pengguna. Kami telah bekerja sama untuk memperbaiki kerentanan ini dan belum menemukan bukti eksploitasi di luar lingkungan lab,” tutur Google dalam pernyataan resmi. “Sebagai praktik terbaik, kami anjurkan pengguna memeriksa pembaruan firmware terbaru untuk headphone mereka. Kami terus mengevaluasi dan meningkatkan keamanan Fast Pair dan Find Hub.”
Menanggapi kekhawatiran spesifik tentang pelacakan perangkat, Google menambahkan, “Kami telah menerapkan perbaikan untuk mencegah provisioning jaringan Find Hub dalam skenario ini, yang sepenuhnya mengatasi potensi masalah pelacakan lokasi di semua perangkat.”
Google telah merilis dua pembaruan keamanan bulan ini, satu untuk Wear OS dan satu untuk perangkat Google Pixel. Masing-masing berisi informasi tentang patch keamanan perusahaan.
Kelompok penelitian WhisperPair menyatakan sedang menyusun makalah akademik yang merinci temuan mereka. Di situs webnya, mereka menulis, “Temuan kami menunjukkan bagaimana ‘tambahan’ kecil untuk usability dapat menimbulkan risiko keamanan dan privasi berskala besar bagi ratusan juta pengguna.”
Kelompok tersebut merilis video YouTube yang membahas masalah pada Fast Pair, teknologi Google yang diperkenalkan pada 2017 untuk menyambungkan perangkat Bluetooth dengan sekali ketuk di Android dan Chrome OS.
Mereka menyebut telah bekerja sama dengan Google setelah melaporkan temuan dan menerima bounty senilai $15,000. Para peneliti menyetujui masa tunggu publikasi 150 hari agar Google dapat merilis patch keamanan. Namun, situs mereka menekankan bahwa pengguna perangkat Bluetooth seperti earbuds mungkin tidak menyadari adanya pembaruan keamanan yang dapat melindungi mereka.
Situs web mereka menyediakan laman tempat pengguna dapat memeriksa produk audio mana yang rentan, lengkap dengan detail cara memperbaruinya. Google tidak mencantumkan informasi rinci tentang kerentanan ini di laman Fast Pair Known Issues miliknya.