Google biedt een Validator-app via de Play Store die leveranciers moeten uitvoeren om hun producten gecertificeerd te krijgen voor het gebruik van Fast Pair. Volgens de beschrijving valideert de app dat Fast Pair correct is geïmplementeerd op een Bluetooth-apparaat, en produceert het rapporten over de vraag of een product de evaluatie van de Fast Pair-implementatie heeft doorstaan of niet heeft doorstaan. De onderzoekers wijzen erop dat bij alle apparaten die ze in hun werk hebben getest, de Fast Pair-implementatie door Google is gecertificeerd. Dat betekent vermoedelijk dat de app van Google ze heeft gecategoriseerd als voldoende aan de vereisten, ook al vertoonden hun implementaties gevaarlijke gebreken. Bovendien worden gecertificeerde Fast Pass-apparaten vervolgens getest in laboratoria die door Google zijn geselecteerd en die de pass-rapporten beoordelen en vervolgens fysieke apparaatmonsters direct evalueren voordat ze op grote schaal worden geproduceerd om te bevestigen dat ze voldoen aan de Fast Pair-standaard.
Google zegt dat de Fast Pair-specificatie duidelijke eisen opleverde en dat de Validator-app vooral ontworpen was als ondersteunend hulpmiddel voor fabrikanten om kernfunctionaliteit te testen. Na de bekendmaking van de onderzoekers van de KU Leuven zegt het bedrijf dat het nieuwe implementatietests heeft toegevoegd die specifiek gericht zijn op Fast Pair-vereisten.
Uiteindelijk, zeggen de onderzoekers, is het moeilijk om te bepalen of de implementatieproblemen die tot de WhisperPair-kwetsbaarheden hebben geleid, voortkwamen uit fouten van apparaatfabrikanten of chipmakers.
WIRED heeft contact opgenomen met alle chipmakers die de chipsets vervaardigen die worden gebruikt door de kwetsbare audioaccessoires – Actions, Airoha, Bestechnic, MediaTek, Qualcomm en Realtek – maar niemand reageerde. In zijn commentaar aan WIRED merkte Xiaomi op: “We hebben intern bevestigd dat het probleem waarnaar u verwijst, werd veroorzaakt door een niet-standaardconfiguratie door chipleveranciers met betrekking tot het Google Fast Pair-protocol.” Airoha is de maker van de chip die wordt gebruikt in de Redmi Buds 5 Pro en die de onderzoekers als kwetsbaar hebben geïdentificeerd.
Ongeacht wie verantwoordelijk is voor de WhisperPair-kwetsbaarheden, benadrukken de onderzoekers dat één conceptueel eenvoudige wijziging in de Fast Pair-specificatie het meer fundamentele probleem achter WhisperPair zou aanpakken: Fast Pair zou de beoogde koppelingen van de accessoire-eigenaar cryptografisch moeten afdwingen en niet toestaan dat een secundaire, malafide “eigenaar” koppelt zonder authenticatie.
Voorlopig hebben Google en veel apparaatfabrikanten software-updates klaar staan om de specifieke kwetsbaarheden te verhelpen. Maar de installatie van deze patches zal waarschijnlijk inconsistent zijn, zoals bijna altijd het geval is bij de beveiliging van het internet der dingen. De onderzoekers dringen er bij alle gebruikers op aan om hun kwetsbare accessoires bij te werken, en ze verwijzen gebruikers naar een website die ze hebben gemaakt en die een doorzoekbare lijst met apparaten beïnvloed door WhisperPair. Wat dat betreft zeggen ze dat iedereen WhisperPair zou moeten gebruiken als een meer algemene herinnering om al hun internet-of-things-apparaten te updaten.
De bredere boodschap van hun onderzoek is volgens hen dat apparaatfabrikanten prioriteit moeten geven aan beveiliging bij het toevoegen van gebruiksvriendelijke functies. Het Bluetooth-protocol zelf bevatte tenslotte geen van de kwetsbaarheden die ze hebben ontdekt; alleen het one-tap-protocol dat Google erbovenop heeft gebouwd om het koppelen gemakkelijker te maken.
“Ja, we willen ons leven gemakkelijker maken en onze apparaten naadloos laten functioneren”, zegt Antonijević. “Gemak betekent niet meteen minder veilig. Maar bij het nastreven van gemak mogen we de veiligheid niet verwaarlozen.”
