تقدم Google تطبيق Validator من خلال متجر Play والذي يجب على البائعين تشغيله كجزء من الحصول على اعتماد منتجاتهم لاستخدام Fast Pair. وفقًا لوصفه، فإن التطبيق “يتحقق من تنفيذ Fast Pair بشكل صحيح على جهاز Bluetooth”، وينتج تقارير حول ما إذا كان المنتج قد اجتاز أو فشل في تقييم تنفيذ Fast Pair الخاص به. يشير الباحثون إلى أن جميع الأجهزة التي اختبروها في عملهم حصلت على اعتماد Fast Pair الخاص بها من Google. وهذا يعني، على الأرجح، أن تطبيق جوجل صنفها على أنها اجتازت متطلباتها، على الرغم من أن تطبيقاتها كانت بها عيوب خطيرة. علاوة على ذلك، تخضع أجهزة Fast Pass المعتمدة بعد ذلك للاختبار في المعامل التي تختارها Google والتي تقوم بمراجعة تقارير النجاح ثم تقوم مباشرة بتقييم عينات الأجهزة الفعلية قبل التصنيع على نطاق واسع للتأكد من توافقها مع معيار Fast Pair.
تقول Google إن مواصفات Fast Pair قدمت متطلبات واضحة وأن تطبيق Validator تم تصميمه بشكل أساسي كأداة داعمة للمصنعين لاختبار الوظائف الأساسية. بعد الكشف عن الباحثين في جامعة KU Leuven، قالت الشركة إنها أضافت اختبارات تنفيذ جديدة موجهة خصيصًا نحو متطلبات Fast Pair.
في النهاية، يقول الباحثون، إنه من الصعب تحديد ما إذا كانت مشكلات التنفيذ التي أدت إلى ثغرات WhisperPair جاءت نتيجة أخطاء من جانب الشركات المصنعة للأجهزة أو صانعي الرقائق.
تواصلت WIRED مع جميع صانعي الرقائق الذين يصنعون الشرائح التي تستخدمها الملحقات الصوتية الضعيفة – Actions وAiroha وBestechnic وMediaTek وQualcomm وRealtek – ولكن لم يستجب أي منهم. في تعليقاتها لمجلة WIRED، أشارت Xiaomi: “لقد أكدنا داخليًا أن المشكلة التي أشرت إليها كانت ناجمة عن تكوين غير قياسي من قبل موردي الرقائق فيما يتعلق ببروتوكول Google Fast Pair.” Airoha هي الشركة المصنعة للرقاقة المستخدمة في Redmi Buds 5 Pro والتي حددها الباحثون على أنها ضعيفة.
بغض النظر عن المسؤول عن ثغرات WhisperPair، يؤكد الباحثون على أن تغييرًا واحدًا بسيطًا من الناحية المفاهيمية لمواصفات Fast Pair من شأنه أن يعالج المشكلة الأكثر جوهرية وراء WhisperPair: يجب أن يفرض Fast Pair بشكل مشفر عمليات الاقتران المقصودة من مالك الملحقات ولا يسمح لـ “مالك” ثانوي مارق بالاقتران دون مصادقة.
في الوقت الحالي، لدى Google والعديد من الشركات المصنعة للأجهزة تحديثات برامج جاهزة لإصلاح نقاط الضعف المحددة. لكن من المرجح أن تكون عمليات تثبيت هذه التصحيحات غير متسقة، كما هو الحال دائمًا تقريبًا في أمان إنترنت الأشياء. يحث الباحثون جميع المستخدمين على تحديث الملحقات الضعيفة الخاصة بهم، ويوجهون المستخدمين إلى موقع ويب قاموا بإنشائه يوفر قائمة قابلة للبحث بالأجهزة المتأثرة بـ WhisperPair. في هذا الصدد، يقولون إنه يجب على الجميع استخدام WhisperPair كتذكير أكثر عمومية لتحديث جميع أجهزتهم المتصلة بإنترنت الأشياء.
ويقولون إن الرسالة الأوسع لأبحاثهم هي أن الشركات المصنعة للأجهزة تحتاج إلى إعطاء الأولوية للأمان عند إضافة ميزات سهولة الاستخدام. بعد كل شيء، لم يحتوي بروتوكول Bluetooth نفسه على أي من نقاط الضعف التي اكتشفوها، فقط بروتوكول النقرة الواحدة الذي أنشأته Google فوقه لجعل الاقتران أكثر ملاءمة.
يقول أنتونييفيتش: “نعم، نريد أن نجعل حياتنا أسهل وأن نجعل أجهزتنا تعمل بسلاسة أكبر”. “إن الراحة لا تعني على الفور أنك أقل أمانًا. ولكن في سعينا لتحقيق الراحة، لا ينبغي لنا أن نهمل الأمن.”
