Lo que nació como una de las funciones más inteligentes de Android se ha transformado en un problema de seguridad. Nos referimos a Fast Pair, un protocolo diseñado para emparejar auriculares fácilmente con otros dispositivos. Y que esconde una vulnerabilidad que deja expuestos ahora a cientos de millones de dispositivos.Un equipo de investigadores de la universidad KU Leuven ha hecho público hoy el hallazgo de múltiples fallos de seguridad críticos de los que se hace eco Wired. Sucede en accesorios de audio de marcas populares como Sony, JBL, Xiaomi o la propia Google. El fallo es tan grave que rompe la seguridad de la conexión Bluetooth. Así se muestra la interfaz de Android en la configuración de unos auriculares compatibles ccon Fast Pair WhisperPair. Así han bautizado al problema, que explota una brecha en la implementación del estándar. La teoría dice que un dispositivo Fast Pair no debería aceptar nuevas conexiones si ya está emparejado. La realidad descubierta es que 17 modelos de diez fabricantes distintos ignoran esta regla básica.Implica que un atacante con un dispositivo barato (como una Raspberry Pi) situado dentro del rango de Bluetooth pueede forzar un emparejamiento silencioso en menos de 15 segundos. Una vez dentro, el control es casi total: pueden inyectar audio a volumen máximo o cortar llamadas en curso.Micrófono abierto. Que controlen los auriculares y pongan audio es el menor de los problemas. Al tomar el control, pueden activar el micrófono para escuchar el entorno de la víctima. Los investigadores demostraron que esto es posible en modelos populares, convirtiendo unos simples auriculares en un dispositivo de escucha remota. En Xataka Móvil Qué es Android System Key Verifier y por qué se ha instalado en mi Android sin pedirme permiso Rastreo físico. El fallo tiene una derivada aún más peligrosa relacionada con la red Find Hub de Google. En caso de que el usuario utilice unos auriculares vulnerables y no estén vinculados a una cuenta de Google, el atacante puede aprovechar el despiste para registrarlos a su nombre.Esto es determinante: convierte los auriculares en una baliza de rastreo permanente. Así, pueden acceder a la ubicación en tiempo real en el mapa de Google. E incluso si recibe una alerta de rastreo, el sistema diría que el dispositivo es técnicamente suyo. {"videoId":"x90pfg8","autoplay":false,"title":"JAILBREAK: Que pasó con los hackers del iPhone", "tag":"webedia-prod", "duration":"820"} El problema de la fragmentación. Si pensábamos que era inherente al SO de Google para móviles, nos equivocábamos. Aunque Google ha reaccionado rápidoo parcheando sus Pixel Buds y actualizando los servicios de Google Play, el problema de fondo persiste por la naturaleza de Android. La solución pasa por actualizar el firmware de los auriculares, y eso no depende de la firma de Mountain View.Depende de cada fabricante, pero como advierten en la web dedicada al exploit, muchos usuarios jamás instalan la app oficial del accesorio para actualizarlos. Y eso es un error: dejará millones de puertas traseras abiertas durante años. La recomendación es clara: si tienes auriculares Bluetooth relativamente modernos, descarga la app del fabricante y busca actualizaciones hoy mismo.Imagen de portada | Pepu Ricca para XatakaEn Xataka Móvil | Llevo años usando una llave de seguridad para reforzar la seguridad de mis cuentas y evitar el phishing (function() { window._JS_MODULES = window._JS_MODULES || {}; var headElement = document.getElementsByTagName('head')[0]; if (_JS_MODULES.instagram) { var instagramScript = document.createElement('script'); instagramScript.src = 'https://platform.instagram.com/en_US/embeds.js'; instagramScript.async = true; instagramScript.defer = true; headElement.appendChild(instagramScript); } })(); - La noticia Millones de auriculares tienen una puerta trasera abierta de par en par. El problema de fondo es un viejo conocido para Android fue publicada originalmente en Xataka Móvil por Pepu Ricca .