ការវាយប្រហារ WhisperPair អនុញ្ញាតឱ្យមានការលួចយកកុំព្យូទ័រយួរដៃ និងកាសស្តាប់ត្រចៀកដោយគ្មានការយល់ព្រមពីអ្នកប្រើប្រាស់ - មនុស្សរាប់លាននាក់រងផលប៉ះពាល់

ចំណុចខ្សោយដ៏សំខាន់មួយនៅក្នុងពិធីការ Fast Pair របស់ Google ដែលអនុញ្ញាតឱ្យអ្នកវាយប្រហារលួចយកគ្រឿងបន្ថែមអូឌីយ៉ូប៊្លូធូស និងតាមដានអ្នកប្រើប្រាស់ដោយមិនដឹងខ្លួន ឬការយល់ព្រម។

អ្នកស្រាវជ្រាវសន្តិសុខមកពី KU Leuven បានរកឃើញចំណុចខ្សោយមួយ ដែលត្រូវបានតាមដានថាជា CVE-2025-36911 និងត្រូវបានគេហៅថា WhisperPair ដែលប៉ះពាល់ដល់កាសស្តាប់ត្រចៀកឥតខ្សែរាប់រយលានគ្រឿង កាសស្តាប់ត្រចៀក និងឧបករណ៍បំពងសម្លេងពីក្រុមហ៊ុនផលិតធំៗ។

រួមទាំង Sony, Anker, Google, Jabra, JBL, Logitech, Marshall, Nothing, OnePlus, Soundcore និង Xiaomi។

Google បានចាត់ថ្នាក់បញ្ហានេះថាជារឿងសំខាន់ ហើយបានផ្តល់រង្វាន់អតិបរមាដែលអាចធ្វើទៅបានចំនួន 15,000 ដុល្លារដល់អ្នកស្រាវជ្រាវ។ ចំណុចខ្សោយនេះកើតចេញពីការអនុវត្តមិនត្រឹមត្រូវនៃពិធីការ Fast Pair។

ចំណុចខ្សោយដ៏សំខាន់នៅក្នុងការអនុវត្ត Fast Pair

យោងតាមការបញ្ជាក់របស់ Fast Pair គ្រឿងបន្ថែមប៊្លូធូសគួរតែមិនអើពើនឹងសំណើភ្ជាប់នៅពេលដែលមិនស្ថិតនៅក្នុងរបៀបភ្ជាប់។

ទោះជាយ៉ាងណាក៏ដោយ ឧបករណ៍លំដាប់កំពូលជាច្រើនបរាជ័យក្នុងការអនុវត្តការត្រួតពិនិត្យសុវត្ថិភាពដ៏សំខាន់នេះ ដែលអនុញ្ញាតឱ្យឧបករណ៍ដែលគ្មានការអនុញ្ញាតចាប់ផ្តើមដំណើរការភ្ជាប់ដោយគ្មានអន្តរកម្មពីអ្នកប្រើប្រាស់។

អ្នកវាយប្រហារអាចកេងប្រវ័ញ្ច WhisperPair ដោយប្រើឧបករណ៍ស្តង់ដារណាមួយដែលមានសមត្ថភាព Bluetooth ដូចជាកុំព្យូទ័រយួរដៃ ស្មាតហ្វូន ឬ Raspberry Pi។

ការវាយប្រហារនេះទទួលបានជោគជ័យក្នុងរយៈពេលមធ្យម ១០ វិនាទីនៅចម្ងាយរហូតដល់ ១៤ ម៉ែត្រដោយមិនតម្រូវឱ្យមានការចូលប្រើឧបករណ៍ងាយរងគ្រោះនោះទេ។

នៅពេលដែលបានភ្ជាប់គ្នារួចហើយ អ្នកវាយប្រហារទទួលបានការគ្រប់គ្រងពេញលេញលើគ្រឿងបន្លាស់អូឌីយ៉ូ ដែលអនុញ្ញាតឱ្យពួកគេចាក់សំឡេងក្នុងកម្រិតសំឡេងខ្ពស់ ឬថតការសន្ទនាតាមរយៈមីក្រូហ្វូនដែលភ្ជាប់មកជាមួយ។

លើសពីនេះ ប្រសិនបើគ្រឿងបន្ថែមមិនដែលត្រូវបានភ្ជាប់ជាមួយឧបករណ៍ Android ទេ អ្នកវាយប្រហារអាចបន្ថែមវាទៅក្នុងគណនី Google ផ្ទាល់ខ្លួនរបស់ពួកគេ ហើយតាមដានទីតាំងរបស់ជនរងគ្រោះដោយប្រើបណ្តាញ Find Hub របស់ Google។

ការជូនដំណឹងតាមដានដែលលេចឡើងបង្ហាញឧបករណ៍របស់ជនរងគ្រោះផ្ទាល់ ដែលអាចនាំឱ្យអ្នកប្រើប្រាស់បដិសេធការព្រមានថាជាកំហុសប្រព័ន្ធ ដែលអនុញ្ញាតឱ្យមានការឃ្លាំមើលរយៈពេលយូរ។

ភាពងាយរងគ្រោះឆ្លងវេទិកា

ភាពងាយរងគ្រោះនេះប៉ះពាល់ដល់អ្នកប្រើប្រាស់នៅទូទាំងវេទិកាទាំងអស់ ពីព្រោះកំហុសនេះមាននៅក្នុងគ្រឿងបន្លាស់ខ្លួនឯង មិនមែននៅក្នុងស្មាតហ្វូនទេ។

អ្នកប្រើប្រាស់ iPhone ដែលមានឧបករណ៍ប៊្លូធូសដែលងាយរងគ្រោះប្រឈមមុខនឹងហានិភ័យដូចគ្នានឹងអ្នកប្រើប្រាស់ Android ដែរ។ ដោយសារមុខងារ Fast Pair មិនអាចបិទនៅលើគ្រឿងបន្លាស់បានទេ សូម្បីតែអ្នកប្រើប្រាស់នៅខាងក្រៅប្រព័ន្ធអេកូឡូស៊ី Android ក៏នៅតែងាយរងគ្រោះដែរ។

អ្នកស្រាវជ្រាវ WhisperPair បានរាយការណ៍ពីការរកឃើញរបស់ពួកគេទៅ Google ក្នុងខែសីហា ឆ្នាំ 2025 ដោយយល់ព្រមលើការបង្ហាញរយៈពេល 150 ថ្ងៃសម្រាប់ក្រុមហ៊ុនផលិតដើម្បីចេញផ្សាយបំណះសុវត្ថិភាព។

ការកាត់បន្ថយប្រសិទ្ធភាពតែមួយគត់គឺការដំឡើងការអាប់ដេតកម្មវិធីបង្កប់ពីក្រុមហ៊ុនផលិតឧបករណ៍។

ខណៈពេលដែលក្រុមហ៊ុនផលិតជាច្រើនបានចេញផ្សាយបំណះ ការអាប់ដេតកម្មវិធីអាចមិនទាន់មានសម្រាប់ឧបករណ៍ងាយរងគ្រោះទាំងអស់នៅឡើយទេ។

អ្នកប្រើប្រាស់គួរតែពិគ្រោះជាមួយសៀវភៅណែនាំគ្រឿងបន្លាស់របស់ពួកគេសម្រាប់ការណែនាំអំពីការអាប់ដេតកម្មវិធីបង្កប់ និងផ្ទៀងផ្ទាត់ភាពអាចរកបាននៃបំណះដោយផ្ទាល់ជាមួយក្រុមហ៊ុនផលិត។

ចំណុចខ្សោយរបស់ WhisperPair តំណាងឱ្យការបរាជ័យជាប្រព័ន្ធ ដោយសារឧបករណ៍ងាយរងគ្រោះបានឆ្លងកាត់ការធានាគុណភាពរបស់អ្នកផលិត និងដំណើរការបញ្ជាក់របស់ Google មុនពេលឈានដល់ទីផ្សារក្នុងទ្រង់ទ្រាយធំ។