Výskumný tým upozornil na chybu, ktorá umožňuje pripojenie k slúchadlám bez párovania, bez upozornenia a bez akejkoľvek interakcie používateľa. Na vine je tzv. RACE – továrenský protokol od spoločnosti Airoha (ktorá vyrába Bluetooth čipy), pôvodne určený na testovanie počas výroby. Ten však nebol deaktivovaný pred uvedením na trh, čo znamená, že zostal aktívny aj v komerčných produktoch. Na sociálnej sieti Facebook o tom informoval profil Ethical Hacking.
V praxi stačí, aby sa útočník nachádzal približne do 10 metrov od obete. Po tichom pripojení cez BLE alebo Bluetooth Classic dokáže stiahnuť pamäť zariadenia a získať tzv. Bluetooth Link Key. Ten umožní klonovať identitu vašich slúchadiel, takže váš telefón dôveruje „falošnému“ zariadeniu bez akéhokoľvek upozornenia.
Slovákov opäť zaplavili falošné telefonáty zo zahraničia. Toto ponúkajú nič netušiacim ľuďom
Čo môže útočník spraviť? Viac než si myslíte
Po získaní kľúča je možné narobiť používateľovi poriadne škody, ako napríklad: preberať hovory, pristupovať ku kontaktom, aktivovať Siri či Google Asistenta, spúšťať odchádzajúce hovory alebo dokonca zapnúť mikrofón telefónu. Na konferencii 39C3 výskumníci demonštrovali aj prevzatie účtov na WhatsAppe či Amazone.
Zraniteľné sú desiatky modelov – napríklad Sony WH-1000XM4/XM5/XM6, Bose QuietComfort Earbuds, Marshall Major V, JBL Live Buds 3 a ďalšie. Ak ste však fanúšikom spoločnosti Apple, máme pre vás fantastickú správu. Vyššie uvedeným problémom našťastie netrpia žiadne zo slúchadiel AirPods, takže ste v maximálnom bezpečí.
Ako sa chrániť? Opravy existujú, no veľa ľudí ich nemá
Výrobcovia dostali opravu už v júni 2025, no do väčšiny zariadení sa podľa výskumníkov ešte nedostala. Preto je kľúčové:
- aktualizovať firmvér cez aplikáciu výrobcu,
- vymazať staré Bluetooth párovania,
- vypínať Bluetooth, keď ho nepoužívate,
- pri citlivých úlohách zvážiť používanie káblových slúchadiel.
Nezabudnite tiež na náš SvetApple bazár, v ktorom nájdete viac ako 1200 inzerátov na rôzne Apple zariadenia. Tie sem môžete pridať úplne zadarmo kliknutím na tento odkaz.