שיתוף | פרצה חדשה במיליוני מכשירי בלוטוס
-
לאחרונה נתגלתה פרצה בפרוטוקול fast pair של גוגל שקייים כמעט בכול אוזניות בלוטוס המתקדמות
הפרצה נגרמה עקב כך שיצרנים לא השתמשו בפרוטוקול כראוי
(האוזניות אמורת להימנע מבקשות ממכשירים זרים כאשר הם לא במצב pair מה שלא קרה בכמעט כול האוזניות והמכשירים)כדי להבין כמה חמורה הפרצה,
היא מאפשרת השתלטות על השמע, (תוכלו להשמיע כול דבר בפול וליום)
תוכלו לדוג' להאזין למיקרופון,
והחמור מכול אם המכשיר לא מחובר לחשבון גוגל כולשהוא תוקפים יכולים לחבר אותו לחשבון שלהם ולהתחיל לאכן אתכם באמצעות find my של גוגל.לבינתיים אין patch כללי וצריך לבדוק כול דגם וחברה בנפרד.
ולעדכן את המכשירים במידת האפשר.יש כאן אתר שמאפשר לבדוק אם אתם פגיעים.
https://whisperpair.eu/vulnerable-devices
האתר הוא חלקי ומכיל רק מעט דגמים אבל פשוט לבדוק אם המכשיר שלכם תומך בgoogle fast pair וכנראה הוא פגיע.עדיין אין סקריפט לפליפר לפחות לא אחד שאני הצלחתי למצוא למי שתוהה
גם החוקרים לא שיתפו poc מסיבות מובנות אבל כן קיבלו 15,000$ כך שהבאג כן רציני וזה רק עניין של זמן עד שהוא ישוחזר ויופץ -
מי שרוצה תירגמתי קצת את האפליקציה עם תרגום גוגל
זה ממש מסובך לתרגם כי הטקסט נמצא ב dex מתורגם קצת.zip
הצטערתי לשמוע שהאוזניות שלי פגיעות
-
מי שרוצה תירגמתי קצת את האפליקציה עם תרגום גוגל
זה ממש מסובך לתרגם כי הטקסט נמצא ב dex מתורגם קצת.zip
הצטערתי לשמוע שהאוזניות שלי פגיעות@אלוף-תימן כתב בשיתוף | פרצה חדשה במיליוני מכשירי בלוטוס:
הצטערתי לשמוע שהאוזניות שלי נפרצו
נפרצו או שאפשר לפרוץ אותם?
כי אני קצת הסתבכתי עם תרגום על המסך... אבל לא הבנתי שהכוונה שכבר נפרצו. -
@אלוף-תימן כתב בשיתוף | פרצה חדשה במיליוני מכשירי בלוטוס:
הצטערתי לשמוע שהאוזניות שלי נפרצו
נפרצו או שאפשר לפרוץ אותם?
כי אני קצת הסתבכתי עם תרגום על המסך... אבל לא הבנתי שהכוונה שכבר נפרצו. -
מי שרוצה תירגמתי קצת את האפליקציה עם תרגום גוגל
זה ממש מסובך לתרגם כי הטקסט נמצא ב dex מתורגם קצת.zip
הצטערתי לשמוע שהאוזניות שלי פגיעות@אלוף-תימן איך משתמשים באפליקציה ומה היא אמורה לעשות?
-
מצאתי כאן אפליקצייה שמתיימרת לבצע את הפרצה בהצלחה, ולעזור לבדוק עם המכשירים שלכם פגיעים לזה (ועוד..).
https://github.com/zalexdev/whisper-pair-app -
@cfopuser מקוה שהאתר והאפליקציה לבדיקת הפגיעות לא נוצרו ע"י האקרים בעצמם כדי לנצל את הפריצה הזאת...
אגב האתר כבר לא פעיל לאיתור מכשירים חדשים אלא רק מציג רשימה של מכשירים שכבר נמצאו פגיעים.
 { const baseUrl = "https://www.google.co.il/search?q=site:mitmachim.top"; const m = location.pathname.match(/^\/(topic|category)\/(\d+)/); const type = m ? m[1] : null; const id = m ? m[2] : null; let searchInput; function search(path = "") { const query = searchInput.value.trim(); if (query) { window.open(`${baseUrl}${path}%20${encodeURIComponent(query)}`, "_blank"); } } let buttons = {}; buttons.searchAll = { id: "bb-search-all", label: `חיפוש ${type ? "בכל הפורום" : ""}`, className: type ? "btn-secondary" : "btn-primary", callback: () => search(), }; if (type === "topic") { buttons.searchTopic = { label: "חיפוש בנושא זה", className: "btn-primary", callback: () => search(`/topic/${id}`), }; } else if (type === "category") { buttons.searchCategory = { label: "חיפוש בקטגוריה זו", className: "btn-primary", callback: () => search(`/category/${id}`), }; } buttons.cancel = { label: "ביטול", className: "btn-default", "data-bs-dismiss": "modal" }; const dialog = bootbox.dialog({ title: '<div style="text-align:center;"><img src="/assets/uploads/files/1625950269825-mt-google.png" width="400" alt="חיפוש בגוגל"></div>', message: '<input id="bb-inp" class="bootbox-input bootbox-input-text form-control" placeholder="הקלידו כדי לחפש בגוגל" autocomplete="off"/>', buttons, backdrop: true, show: true, onEscape: true }); dialog.on("shown.bs.modal", function () { searchInput = document.getElementById("bb-inp"); if (searchInput) { searchInput.focus(); searchInput.addEventListener("keydown", function (e) { if (e.key === "Enter") { e.preventDefault(); const query = this.value.trim(); if (query) { search(); dialog.modal("hide"); } } else if (e.key === "Escape") { e.preventDefault(); dialog.modal("hide"); } }); } const searchAllButton = document.getElementById("bb-search-all"); if (searchAllButton) { searchAllButton.title = "לחצו על אנטר כדי לחפש"; } }); })(); void 0;){kind=link}