Millones de personas en peligro: grave fallo en auriculares populares podría permitir espionaje

4 min para leer 4 min Sin comentarios 0
sony wh 1000xm6 nextpit review 2
© nextpit
Jade Bryan
Jade Bryan

Leer en otros idiomas:

Deutsch / Português / English / Français

Imaginaos que estáis en el metro o en una cafetería, escuchando vuestros auriculares, pero sin saber que alguien os está espiando. Ese es ahora un escenario posible, ya que una nueva investigación revela que millones de usuarios están en peligro debido a vulnerabilidades de Bluetooth recientemente descubiertas.

Investigadores de seguridad de la organización alemana ERNW han publicado un informe en el que se detallan fallos de conectividad Bluetooth en dispositivos equipados con Airoha, incluidos auriculares inalámbricos, cascos y altavoces de grandes marcas como Sony, JBL y Beyerdynamic. Esto significa que potencialmente millones de dispositivos y usuarios están en peligro.

Cómo pueden aprovecharse los atacantes de los fallos

El informe señala que los fallos residen en el protocolo de comunicación personalizado utilizado en los chipsets Airoha de fabricación taiwanesa, que quedan expuestos al utilizar Bluetooth Low Energy y Bluetooth Classic. El informe destaca que estos fallos permiten a los atacantes acceder a los auriculares, así como al dispositivo conectado dentro del alcance de Bluetooth (~10 metros) sin el consentimiento del usuario ni alertarle.

Una vez conseguido el acceso, hay varias formas en que los atacantes pueden explotar estas vulnerabilidades y las conexiones inseguras. La más alarmante es cómo pueden escuchar a escondidas o espiar utilizando el dispositivo comprometido, concretamente interviniendo los micrófonos de los auriculares para grabar sonido o extraer información importante.

Sample attack code shared by ERNW
Un ejemplo de código de ataque compartido por los investigadores de ERNW muestra los datos de usuario expuestos. / © Insinuator / ERNW

Otro método demostrado por los investigadores es que esto podría permitir a los atacantes secuestrar el smartphone conectado. Esto podría posteriormente ejecutar comandos, como realizar llamadas, así como leer información, incluyendo registros de llamadas, historial y números. Además, dependiendo del sistema operativo, los atacantes también podrían utilizar este acceso para activar acciones a través de asistentes de voz.

¿Debe preocuparse el consumidor medio?

Aunque estos ataques suenan bastante aterradores, se ha señalado que la naturaleza de los exploits los hace preocupantes, sobre todo para objetivos de alto perfil, como políticos, activistas y periodistas, y que los usuarios normales no deberían preocuparse demasiado. Por ejemplo, es probable que los usuarios reciban una alerta inmediata si alguien ha secuestrado la conexión, como cuando se detiene la reproducción de audio en los auriculares. Al mismo tiempo, requiere que los atacantes se instalen cerca, lo que podría dar una pista a las víctimas.

Además de los productos de audio confirmados, la empresa de seguridad compartió una lista de dispositivos posiblemente afectados que llevan instalados chips Airoha. Entre ellos están los Sony WH-1000XM4, WH-1000XM5 y el nuevo WH-1000XM6. También se ven afectados los modelos WF-1000XM3, WF-1000XM4, LinkBuds S, CH-720N y ULT Wear.

Close-up of black Sony headphones featuring 'ULT' branding on the earcup.
Auriculares ULT Wear de Sony / © nextpit

Modelos como Elite 8 Active de Jabra, Endurance Race 2 de JBL y Live Buds 3 también están incluidos en la lista. Otros auriculares destacados son los QuietComfort Earbuds de Bose y los Amiron 300 de Beyerdynamic. También se mencionan los dispositivos de Marshall, como Acton III, Major V, Minor IV y Motif II.

Sin embargo, como señalan los investigadores, el número de dispositivos vulnerables podría ser mucho mayor, ya que hay marcas más pequeñas cuyos productos vienen con chips afectados, sin que ni siquiera los fabricantes sean conscientes de ello.

¿Qué deben hacer? ¿Hay solución?

El fabricante de chips taiwanés ya reconoció el informe después de que la empresa de seguridad les informara de estas vulnerabilidades allá por marzo. Sin embargo, no fue hasta principios de junio cuando Airoha publicó un SDK actualizado para los fabricantes. Ahora, depende de marcas como Sony, Bose y JBL desplegar la solución a través de actualizaciones de software en los dispositivos afectados.

Si sus dispositivos aún no han recibido una actualización, considere la posibilidad de tomar medidas como comprobar si hay problemas de desconexión mientras se desplaza o desactivar Bluetooth en su dispositivo cuando no esté en uso.

¿Tenéis auriculares afectados por estas vulnerabilidades? Compartidlo con nosotros en los comentarios.

Vía: Heise Fuente: Insuinator

nextpit recibe una comisión por las compras realizadas a través de los enlaces compartidos en este artículo. Esto no influye en el contenido editorial y no le genera costos adicionales a usted. Obtenga más información sobre cómo ganamos dinero en nuestra página de transparencia.
Ir al comentario (0)
Jade Bryan

Jade Bryan
Junior Editor

I still remember how amazed I was when I first got hold of the Nokia 3210 back when I was a kid, and it was during that time I developed my love for technology, particularly for mobile phones. I started sharing my knowledge through writing in different blogs and forums back in Nokia Nseries era. I even make videos before where I put different phones side-by-side. Today, I'm still an avid enthusiast of smartphones, but my interests have evolved into smart devices and electric vehicles.

Ir al perfil del autor
Te ha gustado este artículo? Compártelo!
Artículos recomendados
ÚLTIMOS ARTÍCULOS
Notificación push Artículo siguiente
Sin comentarios
Escribir un nuevo comentario:
Los cambios realizados se guardarán. No hay borradores guardados durante su edición
Escribir un nuevo comentario:
Los cambios realizados se guardarán. No hay borradores guardados durante su edición