Kritická chyba v bluetooth umožňuje sledování i odposlech
Bezpečnostní výzkumníci objevili vážnou zranitelnost v technologii Fast Pair od společnosti Google. Chyba umožňuje útočníkům převzít kontrolu nad bluetoothovými sluchátky nebo reproduktory, sledovat pohyb uživatelů, a dokonce odposlouchávat jejich hovory.
Zranitelnost označená jako CVE-2025–36911, přezdívaná WhisperPair, se týká stovek milionů bezdrátových audio zařízení napříč značkami. Problém je přímo v samotných sluchátkách či reproduktorech, takže ohroženi jsou i uživatelé iPhonů – nezáleží na tom, jaký telefon používají.
Chybu objevili odborníci z výzkumné skupiny Computer Security and Industrial Cryptography na univerzitě KU Leuven. Podle nich mnoho výrobců špatně implementovalo pravidla Fast Pair. Konkrétně: zařízení by měla ignorovat požadavky na párování, pokud nejsou v režimu párování. Řada produktů to ale v praxi nedělá.
Kvůli tomu se může útočník k zařízení připojit bez vědomí uživatele – a to během několika sekund, na vzdálenost až zhruba 14 metrů. Stačí mu k tomu běžné bluetoothové zařízení, třeba notebook, telefon nebo Raspberry Pi. Po úspěšném spárování má útočník nad audio zařízením plnou kontrolu. Může například pouštět zvuk na maximální hlasitost, ale v horším případě i zneužít mikrofon sluchátek k odposlechu okolí.
Zranitelnost navíc umožňuje sledování polohy oběti přes síť Google Find Hub. Pokud sluchátka ještě nikdy nebyla spárována s Androidem, může si je útočník přiřadit ke svému účtu u Googlu a sledovat jejich pohyb. Uživatel sice může po čase dostat upozornění na sledování, ale to se tváří, jako by se týkalo jeho vlastního zařízení – což může vést k tomu, že varování jednoduše ignoruje.
Problém se týká zařízení od výrobců jako Google, Jabra, JBL, Logitech, Sony, Xiaomi a dalších. Google za nahlášení chyby vyplatil maximální možnou odměnu 15 000 dolarů a spolupracoval s výrobci na vydání oprav během 150denní lhůty. Ne všechna zařízení ale zatím aktualizaci dostala.
Jediná skutečná obrana je nainstalovat firmware aktualizace od výrobce zařízení. Vypnutí Fast Pair v telefonu nepomůže – tuto funkci nelze vypnout přímo na samotných sluchátkách nebo reproduktorech.
První Patch Tuesday roku 2026
Microsoft zahájil rok 2026 vydáním velkého balíčku oprav, který řeší celkem 114 bezpečnostních děr v systémech Windows, Office a cloudové platformě Azure. Tato lednová vlna aktualizací patří k těm objemnějším, přičemž osm nalezených chyb dostalo nálepku „kritické“.
Největší pozornost poutají tři takzvané „zero-day“ zranitelnosti. Jedná se o chyby, které byly odhaleny dříve, než na ně existovala oficiální záplata. Nejnebezpečnější z nich je CVE-2026–20805, která se týká Správce oken plochy (DWM) a již útočníci už aktivně zneužívají k vykrádání citlivých dat z paměti počítače. Další vážný problém, označený jako CVE-2026–21265, zasahuje funkci Secure Boot. Ta má za úkol hlídat bezpečný start systému, ale kvůli starým certifikátům z roku 2011 by ji šikovnější útočník mohl obejít a narušit integritu celého zařízení.
Kritické opravy se letos nevyhnuly ani oblíbeným programům Excel a Outlook. Konkrétně chyby CVE-2026–20952 a CVE-2026–20953 umožňují hackerům spustit v počítači škodlivý kód, a to dokonce bez složité interakce s uživatelem – stačí, když si oběť zobrazí upravený e-mail v podokně náhledu.
Největší DDoS botnet má mladšího brášku
Výzkumníci bezpečnostního týmu Black Lotus Labs společnosti Lumen Technologies oznámili, že ve své globální síti zablokovali provoz na více než 550 řídicích uzlů (tzv. C2, „Command and Control“) botnetu Kimwolf. Ten se objevil loni kolem 7. října jako přímý nástupce, případně „bratr“ botnetu Aisuru, do té doby pravděpodobně nejvýkonnějšího nástroje na DDoS útoky svého druhu, generujícího rekordní objemy provozu v řádu desítek terabitů za sekundu.
Kimwolf se převážně zaměřuje na neautorizovaná streamovací zařízení Android TV od různých neznačkovývh výrobců, která velmi často přicházejí na trh s otevřeným přístupem k rozhraní ADB (Android Debug Bridge). To umožňuje neautorizovaný vzdálený přístup a provedení akcí, jako je update firmwaru. Primárně je tato funkce určena pouze pro fázi výrobního procesu a testování, ovšem její dostupnost v již distribuovaných zařízeních je výzkumníky považována za klíčový faktor pro masivní rozšíření botnetu. Např. během jednoho týdne v říjnu došlo k nárůstu počtu infikovaných zařízení o 300 % a v současnosti se jejich počet odhaduje na více než dva miliony.
Kromě potenciálního zneužití oběti pro generování DDoS provozu se zařízení také dá proměnit v uzel tzv. rezidenční proxy (ta umožňuje svým uživatelům směrovat jejich provoz přes tyto uzly, a tak např. obcházet geoblokaci nebo maskovat skutečný zdroj provozu) a jeho veřejná IP adresa je následně nabízena k pronájmu na webu poskytovatele rezidenčních proxy. Dokonce se zdá, že útočníci pak přístup k takovému uzlu dokážou zneužít ke skenování lokální sítě oběti za účelem nalezení dalších zařízení s povoleným režimem ADB a dalšího šíření malwaru.
I přes trvající snahu společností, jako je Lumen Technologies o neutralizaci řídicích prvků botnetu, je bohužel realitou, že zařízení obsahující závažné zranitelnosti se na trh, který často slyší pouze na jejich cenu, dostávat stále budou. Stejně tak se budou stávat snadnou obětí útočníků a také uzly botnetů. Na straně obránců tak zbývá prostor jen na reakci a bezpečnostní společnost Synthient v tomto duchu publikovala online nástroj pro detekci , zda je veřejná IP adresa uživatele součástí botnetu Kimwolf. A tomto světle také nabývá skutečného významu doporučení výzkumníků Synthientu v případě pozitivního nálezu – Infikovaná zařízení by měla být zcela vymazána nebo zničena.
Satelitní internet jako nástroj revoluce
Koncem prvního lednového týdne došlo v Íránu k téměř úplnému odpojení země od globálního internetu. Vládnoucí režim tím reaguje na probíhající masové protesty s cílem omezit komunikaci a koordinaci mezi demonstranty, ale také zamezit šíření informací o brutálním potlačování těchto protestů mimo Írán. Podle statistik společnosti NetBlocks jde o „národní blockout“ s poklesem provozu na zhruba 1 % běžné úrovně v celé zemi.
V této situaci vystoupil 14. ledna prezident USA Donald Trump s prohlášením, v němž vyzval majitele společnosti SpaceX Elona Muska k podpoře snahy o překonání íránské blokády internetu pomocí jím vlastněné satelitní sítě Starlink. Podle dostupných informací se zdá, že Musk tuto výzvu vyslyšel, a ve společnosti se rozběhly intenzivní práce na realizaci plánu. Mimo jiné to ukazuje na skutečnost, jak úzce je v dnešním světe elektronická komunikace – a technologie, které ji umožňují – strategickým nástrojem. Trump jí, a tím i společnosti SpaceX, nyní vlastně přiřkl status důležitého nástroje zahraniční politiky USA.
Starlink je v Íránu oficiálně zakázán a vlastnictví nebo distribuce terminálů jsou považovány za trestný čin s vážnými následky a přísnými tresty. Přesto je používán a nyní tvoří prakticky jedinou cestu, jak se informace o protestech mohou šířit nejen uvnitř, ale zejména ven z Íránu. Někteří Íránci také nyní cestují i stovky kilometrů do příhraničních oblastí, aby byli schopni přes zahraniční mobilní sítě odeslat svá svědectví.
Podle lidskoprávní organizace Witness má pomocí Starlinku k internetu přístup kolem 50 000 Íránců, což ovšem v devadesátimilionové zemi není příliš. Zdá se také, že Musk umožnil používání Starlinku v Íránu zdarma. Režim se snaží satelitní vysílání rušit, ovšem vzhledem k velikosti země i rozsahu protestů není prý příliš úspěšný. O to více se ale soustředí na samotné uživatele a jejich zařízení – nedávno se zpravodajské služby Íránu pochlubily zadržením zásilky hardwaru „pro špionážní a sabotážní operace“, která čítala 100 přijímačů, 50 zesilovačů signálu, dále stovky modemů a telefonních přístrojů.
Internetová komunikace je dnes neodmyslitelnou součástí našich životů, a obzvlášť se to projevuje v krizových momentech, při přírodních pohromách, politických otřesech a ve válkách. Naprosto nenahraditelnou roli hraje například pro obránce Ruskem napadené Ukrajiny. Se svými více než 9 000 satelity na oběžné dráze je Starlink spolehlivě největší sítí svého druhu, která umožňuje připojení komukoli a kdekoli, s jen omezenými možnostmi toto připojení narušit. Zároveň je soukromým majetkem jednoho z nejbohatších lidí na zemi – a to z něj činí i jednoho z nejvlivnějších. Dokonce tak, že i prezident Spojených států rád zapomene na jejich dřívější spory a rozdílné názory a využije jej pro své zájmy.
Ve zkratce
- APT skupina napojená na Čínu zneužívá Sitecore zero-day při útocích na americkou kritickou infrastrukturu
- Palo Alto opravuje DoS chybu v GlobalProtect
- Fortinet opravuje kritické zranitelnosti v produktech FortiFone a FortiSIEM
- Chrome 144 a Firefox 147 opravují zranitelnosti s vysokou závažností
Pro pobavení
SOAR, XDR, SIEM
O seriálu
Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET, bezpečnostního týmu CDT-CERT provozovaného společností ČD - Telematika a bezpečnostních specialistů Jana Kopřivy ze společnosti Nettles Consulting a Moniky Kutějové ze sdružení TheCyberValkyries. Více o seriálu…
ČLÁNKY DO MAILU