Google के Fast Pair प्रोटोकॉल में खामी, Sony से लेकर JBL तक के ऑडियो डिवाइस हैकिंग के खतरे में
Google के Fast Pair वायरलेस प्रोटोकॉल में गंभीर सुरक्षा खामियां सामने आई हैं, जिनके चलते कई बड़े ब्रांड्स के ऑडियो डिवाइस हैकिंग और निगरानी के खतरे में आ गए हैं। सुरक्षा शोधकर्ताओं के मुताबिक, Sony, JBL, Jabra, Marshall, Xiaomi, Nothing, OnePlus, Soundcore, Logitech और यहां तक कि गूगल के अपने डिवाइस भी इन कमजोरियों से प्रभावित हो सकते हैं।
Fast Pair को इस तरह डिजाइन किया गया था कि Android और ChromeOS यूजर्स अपने Bluetooth डिवाइस को सिर्फ एक टैप में कनेक्ट कर सकें। लेकिन बेल्जियम की KU Leuven यूनिवर्सिटी के रिसर्चर्स ने पाया कि इसी सुविधा का फायदा उठाकर हैकर बेहद आसानी से आसपास मौजूद ऑडियो एक्सेसरीज़ से जुड़ सकते हैं। इस हमले के तरीके को उन्होंने WhisperPair नाम दिया है।
रिसर्च के मुताबिक, कोई भी अटैकर करीब 50 फीट के दायरे में रहकर चुपचाप किसी के ईयरबड्स या स्पीकर से कनेक्ट हो सकता है, भले ही वह पहले से किसी और फोन से जुड़े हों। इतना ही नहीं, यह खतरा सिर्फ Android यूजर्स तक सीमित नहीं है। iPhone यूजर्स भी इसकी चपेट में आ सकते हैं, क्योंकि अटैक डिवाइस लेवल पर होता है, फोन ब्रांड पर नहीं।
अगर कोई डिवाइस WhisperPair के जरिए हैक हो जाए, तो हैकर कॉल के दौरान ऑडियो में दखल दे सकता है, अपनी आवाज इंजेक्ट कर सकता है या डिवाइस के माइक्रोफोन से आसपास की बातचीत सुन सकता है। कुछ डिवाइस में मौजूद लोकेशन ट्रैकिंग फीचर का गलत इस्तेमाल कर पीड़ित की मूवमेंट पर नजर भी रखी जा सकती है।
रिसर्चर्स का कहना है कि Bluetooth का मूल सिस्टम सुरक्षित है, लेकिन Fast Pair के ऊपर बनाई गई लेयर में डिजाइन और इम्प्लीमेंटेशन की गलतियां हैं। KU Leuven के शोधकर्ता सायन दत्तगुप्ता के मुताबिक, यूजर की सुविधा को सुरक्षा से ऊपर रखना बड़ी भूल साबित हो रही है। उन्होंने बताया कि हैकर कुछ ही सेकंड में डिवाइस को हाईजैक कर सकता है।
इस मामले पर गूगल ने प्रतिक्रिया देते हुए माना है कि Fast Pair में कमजोरियां हैं, लेकिन कंपनी का कहना है कि अब तक लैब टेस्ट के बाहर किसी असली हमले के सबूत नहीं मिले हैं। गूगल ने बताया कि वह Fast Pair और Find Hub की सुरक्षा मजबूत करने पर काम कर रहा है और कई कंपनियों को पहले ही अलर्ट किया जा चुका है। गूगल ने अपने प्रभावित ऑडियो एक्सेसरीज़ के लिए पैच भी जारी कर दिए हैं।
Google; Also read- Digital Payment New Guideline : PhonePe, Google Pay और Paytm यूज़र्स के लिए बड़ी खबर
निर्माता कंपनियों ने भी अपडेट की प्रक्रिया शुरू कर दी है। Xiaomi ने कहा है कि वह गूगल और चिप सप्लायर्स के साथ मिलकर ओवर द एयर अपडेट लाएगी। JBL की पैरेंट कंपनी Harman ने बताया है कि उन्हें गूगल से पैच मिल चुके हैं और जल्द ही ऐप के जरिए अपडेट जारी होंगे। Logitech ने नए प्रोडक्शन यूनिट्स में फर्मवेयर फिक्स शामिल कर लिया है, जबकि OnePlus अभी जांच कर रहा है।
रिसर्च टीम ने एक तकनीकी डेमो में Raspberry Pi मिनीकंप्यूटर का इस्तेमाल कर 16 अलग अलग ब्रांड्स के 25 Fast Pair डिवाइस को टेस्ट किया। करीब 14 मीटर की दूरी से ज्यादातर डिवाइस 10 से 15 सेकंड में हाईजैक हो गए।
कुल मिलाकर यह खुलासा दिखाता है कि टेक्नोलॉजी में सहूलियत जितनी जरूरी है, उतनी ही जरूरी सुरक्षा भी है। अब निगाहें गूगल और बाकी कंपनियों पर हैं कि वे इन खामियों को कितनी जल्दी और कितनी मजबूती से ठीक करते हैं।
