La distancia desde la que un atacante puede aprovechar la vulnerabilidad en Fast Pair alcanza aproximadamente los 15 metros según pruebas realizadas, lo que permite un acceso no autorizado a equipos de audio que utilizan este sistema de emparejamiento rápido. Tal como consignó Wired, la investigación liderada por el grupo de Seguridad Informática y Criptografía Industrial de la Universidad KU Leuven de Bélgica identificó que el fallo de seguridad afecta a auriculares, altavoces y otros dispositivos equipados con Fast Pair, exponiendo a cientos de millones de unidades pertenecientes a marcas como Sony, Jabra, JBL, Marshall, Xiaomi, Nada, OnePlus, Soundcore, Logitech y Google.
De acuerdo con los datos difundidos por Wired, la función de Fast Pair de Google fue diseñada para que los usuarios pudieran vincular dispositivos Bluetooth de forma automatizada y eficaz en sistemas Android y ChromeOS, con un método similar al que emplean los AirPods de Apple. Sin embargo, la implementación presenta una brecha que habilita a un atacante dentro del radio de cobertura del Bluetooth a tomar control del dispositivo de audio, incluso si este ya se encontraba conectado a otro equipo. El grupo de investigadores bautizó la vulnerabilidad como ‘WhisperPair’.
El investigador Sayon Duttagupta, citado por Wired, ilustró el alcance del problema afirmando que “vas por la calle con los auriculares puestos y escuchando música. En menos de 15 segundos, podemos secuestrar tu dispositivo”. Nikola Antonijevic, también miembro del equipo de KU Leuven, añadió que “el atacante ahora es dueño de este dispositivo y básicamente puede hacer lo que quiera con él”.
Conforme reportó Wired, la investigación identificó que 17 modelos de dispositivos de audio son susceptibles al ataque y notificó a Google en agosto del año anterior. Google reconoció públicamente el aporte de los investigadores belgas y, tras recibir el informe, contactó a varias de las marcas afectadas. Marcas como Xiaomi, JBL, Logitech y OnePlus confirmaron a Wired la adopción de actualizaciones de seguridad para mitigar el riesgo en los modelos señalados.
Según información de Engadget, Google recomendó a sus usuarios revisar que los auriculares y demás dispositivos compatibles cuenten con la última versión de firmware, con la finalidad de reducir la exposición a esta vulnerabilidad. La compañía subrayó que evalúa y mejora de forma constante la seguridad de Fast Pair y Find Hub. Además, sostuvo ante Wired y Engadget que, hasta el momento, no se han detectado ataques en la práctica fuera del laboratorio del equipo investigador. Aun así, los responsables de la investigación puntualizaron que Google no podría verificar ataques en dispositivos que no están bajo su dominio.
En cuanto a las medidas para los usuarios impactados, el investigador Seppe Wyns de KU Leuven explicó a Wired que la función Fast Pair permanece habilitada por defecto en todos los equipos compatibles y no ofrece la opción de desactivación. No obstante, recomendó restablecer el dispositivo de audio a su configuración de fábrica, lo que elimina el acceso concedido de forma no autorizada y obliga a que cualquier eventual atacante deba repetir el procedimiento. Wyns puntualizó que esta acción no desactiva la apertura de Fast Pair para ataques futuros, mientras el sistema siga presente tal y como está diseñado.
Google ha puesto a disposición la aplicación ‘Fast Pair Validator’ para verificar si la implementación del sistema cumple con los requisitos de seguridad esperados. Sin embargo, los investigadores de KU Leuven aseguraron que, en las pruebas realizadas, todos los dispositivos vulnerables ya contaban con esa herramienta instalada, sin que ello previniera la explotación de la falla.
En sus conclusiones técnicas, los investigadores insistieron, según Wired, en la necesidad de reforzar el proceso de emparejamiento con mecanismos criptográficos más robustos, que permitan autenticar la propiedad legítima antes de conceder acceso y eviten que un segundo usuario o dispositivo obtenga control sin la debida autorización. Advirtieron que, mientras no se implementen protecciones adicionales en el protocolo o sus aplicaciones, el riesgo para la privacidad y la seguridad de los usuarios de equipos afectados persiste.