O Google oferece um Aplicativo validador por meio da Play Store que os fornecedores devem executar como parte da certificação de seus produtos para usar o Fast Pair. De acordo com sua descrição, o aplicativo “valida se o Fast Pair foi implementado corretamente em um dispositivo Bluetooth”, produzindo relatórios sobre se um produto foi aprovado ou reprovado na avaliação de sua implementação do Fast Pair. Os pesquisadores destacam que todos os dispositivos que testaram em seu trabalho tiveram a implementação do Fast Pair certificada pelo Google. Isso significa, presumivelmente, que o aplicativo do Google os categorizou como atendendo aos requisitos, embora suas implementações apresentassem falhas perigosas. Além disso, os dispositivos Fast Pass certificados passam por testes em laboratórios selecionados pelo Google que analisam os relatórios de aprovação e avaliam diretamente as amostras de dispositivos físicos antes da fabricação em larga escala para confirmar se eles estão alinhados com o padrão Fast Pair.
O Google afirma que a especificação Fast Pair forneceu requisitos claros e que o aplicativo Validator foi projetado principalmente como uma ferramenta de suporte para os fabricantes testarem a funcionalidade principal. Após a divulgação dos pesquisadores da KU Leuven, a empresa afirma que adicionou novos testes de implementação voltados especificamente para os requisitos do Fast Pair.
Em última análise, dizem os pesquisadores, é difícil determinar se os problemas de implementação que levaram às vulnerabilidades do WhisperPair vieram de erros por parte dos fabricantes de dispositivos ou fabricantes de chips.
A WIRED entrou em contato com todos os fabricantes de chips que fabricam os chipsets usados pelos acessórios de áudio vulneráveis – Actions, Airoha, Bestechnic, MediaTek, Qualcomm e Realtek – mas nenhum respondeu. Em seus comentários à WIRED, a Xiaomi observou: “Confirmamos internamente que o problema que você mencionou foi causado por uma configuração fora do padrão dos fornecedores de chips em relação ao protocolo Google Fast Pair”. Airoha é a fabricante do chip usado no Redmi Buds 5 Pro que os pesquisadores identificaram como vulnerável.
Independentemente de quem é o culpado pelas vulnerabilidades do WhisperPair, os pesquisadores enfatizam que uma mudança conceitualmente simples na especificação do Fast Pair resolveria a questão mais fundamental por trás do WhisperPair: o Fast Pair deve impor criptograficamente os emparelhamentos pretendidos pelo proprietário do acessório e não permitir que um “proprietário” secundário e desonesto emparelhe sem autenticação.
Por enquanto, o Google e muitos fabricantes de dispositivos têm atualizações de software prontas para corrigir vulnerabilidades específicas. Mas as instalações desses patches provavelmente serão inconsistentes, como quase sempre acontece na segurança da Internet das Coisas. Os pesquisadores incentivam todos os usuários a atualizarem seus acessórios vulneráveis e direcionam os usuários para um site que eles criaram que fornece um lista pesquisável de dispositivos afetado pelo WhisperPair. Por falar nisso, eles dizem que todos deveriam usar o WhisperPair como um lembrete mais geral para atualizar todos os seus dispositivos de Internet das Coisas.
A mensagem mais ampla da sua pesquisa, dizem eles, é que os fabricantes de dispositivos precisam priorizar a segurança ao adicionar recursos fáceis de usar. Afinal, o protocolo Bluetooth em si não continha nenhuma das vulnerabilidades descobertas – apenas o protocolo de um toque que o Google construiu sobre ele para tornar o emparelhamento mais conveniente.
“Sim, queremos facilitar a nossa vida e fazer com que os nossos dispositivos funcionem de forma mais integrada”, afirma Antonijević. “Conveniência não significa imediatamente menos segurança. Mas, na busca pela conveniência, não devemos negligenciar a segurança.”
