שיתוף | פרצה חדשה במיליוני מכשירי בלוטוס
-
לאחרונה נתגלתה פרצה בפרוטוקול fast pair של גוגל שקייים כמעט בכול אוזניות בלוטוס המתקדמות
הפרצה נגרמה עקב כך שיצרנים לא השתמשו בפרוטוקול כראוי
(האוזניות אמורת להימנע מבקשות ממכשירים זרים כאשר הם לא במצב pair מה שלא קרה בכמעט כול האוזניות והמכשירים)כדי להבין כמה חמורה הפרצה,
היא מאפשרת השתלטות על השמע, (תוכלו להשמיע כול דבר בפול וליום)
תוכלו לדוג' להאזין למיקרופון,
והחמור מכול אם המכשיר לא מחובר לחשבון גוגל כולשהוא תוקפים יכולים לחבר אותו לחשבון שלהם ולהתחיל לאכן אתכם באמצעות find my של גוגל.לבינתיים אין patch כללי וצריך לבדוק כול דגם וחברה בנפרד.
ולעדכן את המכשירים במידת האפשר.יש כאן אתר שמכיל רשימה של מכשירים שנמצאו פכיעים (גם אם אתם לא ברשימה זה לא אומר שהמכשיר לא פגיע)
https://whisperpair.eu/vulnerable-devices
האתר הוא חלקי ומכיל רק מעט דגמים אבל פשוט לבדוק אם המכשיר שלכם תומך בgoogle fast pair וכנראה הוא פגיע.עדיין אין סקריפט לפליפר לפחות לא אחד שאני הצלחתי למצוא למי שתוהה
גם החוקרים לא שיתפו poc מסיבות מובנות אבל כן קיבלו 15,000$ כך שהבאג כן רציני וזה רק עניין של זמן עד שהוא ישוחזר ויופץחשוב לומר פריצה ללא אישור וקו"ח שהפעלת איכון ללא אישור מפורש על מכשירי בלוטוס זרים זוהי עבירה על החוק.
כול האמור כאן הוא למטרות ידע בלבד. -
מי שרוצה תירגמתי קצת את האפליקציה עם תרגום גוגל
זה ממש מסובך לתרגם כי הטקסט נמצא ב dex מתורגם קצת.zip
הצטערתי לשמוע שהאוזניות שלי פגיעות
-
מי שרוצה תירגמתי קצת את האפליקציה עם תרגום גוגל
זה ממש מסובך לתרגם כי הטקסט נמצא ב dex מתורגם קצת.zip
הצטערתי לשמוע שהאוזניות שלי פגיעות@אלוף-תימן כתב בשיתוף | פרצה חדשה במיליוני מכשירי בלוטוס:
הצטערתי לשמוע שהאוזניות שלי נפרצו
נפרצו או שאפשר לפרוץ אותם?
כי אני קצת הסתבכתי עם תרגום על המסך... אבל לא הבנתי שהכוונה שכבר נפרצו. -
@אלוף-תימן כתב בשיתוף | פרצה חדשה במיליוני מכשירי בלוטוס:
הצטערתי לשמוע שהאוזניות שלי נפרצו
נפרצו או שאפשר לפרוץ אותם?
כי אני קצת הסתבכתי עם תרגום על המסך... אבל לא הבנתי שהכוונה שכבר נפרצו. -
מי שרוצה תירגמתי קצת את האפליקציה עם תרגום גוגל
זה ממש מסובך לתרגם כי הטקסט נמצא ב dex מתורגם קצת.zip
הצטערתי לשמוע שהאוזניות שלי פגיעות@אלוף-תימן איך משתמשים באפליקציה ומה היא אמורה לעשות?
-
מצאתי כאן אפליקצייה שמתיימרת לבצע את הפרצה בהצלחה, ולעזור לבדוק עם המכשירים שלכם פגיעים לזה (ועוד..).
https://github.com/zalexdev/whisper-pair-app@cfopuser מקוה שהאתר והאפליקציה לבדיקת הפגיעות לא נוצרו ע"י האקרים בעצמם כדי לנצל את הפריצה הזאת...
אגב האתר כבר לא פעיל לאיתור מכשירים חדשים אלא רק מציג רשימה של מכשירים שכבר נמצאו פגיעים.מפתח אפליקציות אנדרואיד
em0548438097@gmail.com -
@cfopuser מקוה שהאתר והאפליקציה לבדיקת הפגיעות לא נוצרו ע"י האקרים בעצמם כדי לנצל את הפריצה הזאת...
אגב האתר כבר לא פעיל לאיתור מכשירים חדשים אלא רק מציג רשימה של מכשירים שכבר נמצאו פגיעים. -
@cfopuser מקוה שהאתר והאפליקציה לבדיקת הפגיעות לא נוצרו ע"י האקרים בעצמם כדי לנצל את הפריצה הזאת...
אגב האתר כבר לא פעיל לאיתור מכשירים חדשים אלא רק מציג רשימה של מכשירים שכבר נמצאו פגיעים.@א.מ.ד. האתר זה החוקרים יצרו,
את האפליקצייה לא יודע מי אבל זה קוד פתוח.גם האפליקצייה הוא בכוונה הוריד את האופציה להפעיל איכון על מכשירי בלוטוס זרים מטעמי אתיקה
ככה שהכוונות נראות בסדר (למרות שלא אמור להיות קשה בכלל להנס לאחור את הפרצה גם בשביל זה אולי אני יעלה פורק)
 { const baseUrl = "https://www.google.co.il/search?q=site:mitmachim.top"; const m = location.pathname.match(/^\/(topic|category)\/(\d+)/); const type = m ? m[1] : null; const id = m ? m[2] : null; let searchInput; function search(path = "") { const query = searchInput.value.trim(); if (query) { window.open(`${baseUrl}${path}%20${encodeURIComponent(query)}`, "_blank"); } } let buttons = {}; buttons.searchAll = { id: "bb-search-all", label: `חיפוש ${type ? "בכל הפורום" : ""}`, className: type ? "btn-secondary" : "btn-primary", callback: () => search(), }; if (type === "topic") { buttons.searchTopic = { label: "חיפוש בנושא זה", className: "btn-primary", callback: () => search(`/topic/${id}`), }; } else if (type === "category") { buttons.searchCategory = { label: "חיפוש בקטגוריה זו", className: "btn-primary", callback: () => search(`/category/${id}`), }; } buttons.cancel = { label: "ביטול", className: "btn-default", "data-bs-dismiss": "modal" }; const dialog = bootbox.dialog({ title: '<div style="text-align:center;"><img src="/assets/uploads/files/1625950269825-mt-google.png" width="400" alt="חיפוש בגוגל"></div>', message: '<input id="bb-inp" class="bootbox-input bootbox-input-text form-control" placeholder="הקלידו כדי לחפש בגוגל" autocomplete="off"/>', buttons, backdrop: true, show: true, onEscape: true }); dialog.on("shown.bs.modal", function () { searchInput = document.getElementById("bb-inp"); if (searchInput) { searchInput.focus(); searchInput.addEventListener("keydown", function (e) { if (e.key === "Enter") { e.preventDefault(); const query = this.value.trim(); if (query) { search(); dialog.modal("hide"); } } else if (e.key === "Escape") { e.preventDefault(); dialog.modal("hide"); } }); } const searchAllButton = document.getElementById("bb-search-all"); if (searchAllButton) { searchAllButton.title = "לחצו על אנטר כדי לחפש"; } }); })(); void 0;){kind=link}