CVE-2021-38548

Dispositivos JBL Go 2 até 09/08/2021

A vulnerabilidade permite que invasores remotos recuperem sinais de voz a partir de um LED no dispositivo por meio de um telescópio e um sensor eletro-óptico, também conhecido como ataque “Glowworm”. Isso é possível porque o LED indicador de energia dos alto-falantes está conectado diretamente à linha de alimentação, tornando a intensidade do LED indicador de energia do dispositivo correlacionada ao consumo de energia. O som reproduzido pelos alto-falantes afeta seu consumo de energia, o que também é correlacionado à intensidade da luz dos LEDs. Ao analisar medições obtidas de um sensor eletro-óptico direcionado aos LEDs indicadores de energia dos alto-falantes, é possível recuperar o som reproduzido por eles.

Para dispositivos JBL Go 2 fabricados até 09/08/2021, considere desativar o LED indicador de energia para minimizar o risco de exploração até que uma correção esteja disponível. Restrinja o acesso à linha de alimentação do dispositivo para impedir a medição não autorizada do consumo de energia. Evite usar o dispositivo em ambientes onde ele possa ser facilmente monitorado com um telescópio e um sensor eletro-óptico. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.