Bluetooth-säkerhetsbrist på Pixel? (Kopplat till Google TV-appen)

Jag brukar köra en jobbil i arbetet och för några dagar sedan hände en märklig grej, som aldrig hänt tidigare. Ska först säga att jag då när det hände hade Android 14 på min Pixel 6a, nu har jag Android 15 men jag har inte hunnit testa om problemet finns även på denna version. Får kolla det nästa vecka.

På något sätt verkar problemet kopplat till Google TV-appen och Bluetooth, trots att den appen mig veterligen inte använder Bluetooth (förutom att telefonen såklart kan streama ljud till bluetooth-hörlurar när man kollar på något i appen).
Det som händer är att telefonen helt plötsligt erbjuder sig att bli uppkopplad till bilens bluetooth, trots att de aldrig varit parkopplade och att jag inte på något sätt initierat en bluetooth-anslutning eller tryckt på något i telefonen, och den skippar helt säkerhetssteget som låter mig godkänna en anslutning. Istället är det enda som framkallat det att jag kollade på ett videoklipp i Google TV utan att jag tryckt på något där.
Bilen säger plötsligt att telefonen försöker ansluta, och man kan trycka på "godkänn" eller "avbryt". Detta händer ett flertal gånger på raken, så länge jag spelar ett klipp i Google TV. Stänger jag Google TV, då slutar det. Om det händer med en - för telefonen okänd - bil så kan det såklart hända med andra enheter, som kan tillhöra någon annan. Säkerhetsbristen är alltså att telefonen helt på eget bevåg erbjuder sig att ansluta sig till en okänd bluetooth-enhet utan det vanliga säkerhetssteget där jag väljer att ansluta och anger vad som ska delas med bluetooth-enheten. Någon okänd person hade kunnat godkänna uppkopplingen ifall det var deras enhet den försökte ansluta till, och då kan känslig data såklart läcka.

Men: på telefonen ser jag strax innan, om jag kollar noggrant, hur den där bluetooth-parningsrutan ytterst hastigt dyker upp, mindre än en sekund, sen försvinner den - det är inte jag som trycker bort den. Alltså den rutan som visar en kod, där man ska kontrollera att det är samma kod på bluetooth-enheten. Detta händer flera gånger på raken, exakt samma förlopp. Det är som någon bugg i programvaran får den att visa säkerhetsrutan men sen plötsligt skippa det steget.

Jag hade redan en aktiv bluetooth-anslutning när detta skedde, till mina Pixel Buds. Men jag testade att stänga av dem, då fortsatte problemet ändå likadant. Så att jag hade en redan uppkopplad bluetooth-enhet (såsom Pixel Buds) verkar sakna betydelse, istället verkar ju Google TV vara problempunkten.

Har någon lust att testa med sin Pixel, spela upp ett klipp i Google TV på telefonen, var i närheten av en annan bluetooth-enhet som är aktiverad (typ en bil), händer det något då? Alltså en bluetooth-enhet som inte redan är parkopplad eller känd för telefonen. Denna bil (Volkswagen) hade påslagen stereo, det visas en slags "allmän hemskärm", jag vet inte om det innebär att den automatiskt söker efter enheter, det står inte att den söker men den visar en lista över redan parkopplade enheter som sappar förbi ibland. Jag har kört samma eller liknande bilar länge, aldrig hänt förrän nu, så måste ha en tydlig koppling till Google TV, jag har nog aldrig använt Google TV i bilen innan.

Teorier?
Värt att anmäla till Google, hur i så fall?

 

Har bilen Android Auto?

 

För vissa tjänster så kan telefonen agera "on behalf of". Med Android Auto så finns den finessen exempelvis (för att du skall slippa godkänna alla olika kopplingar mellan bilen och telefonen). Där godkänns Bluetooth automatiskt när du kopplar upp Auto och Bluetooth är då parat med telefonen som en del av anslutningen av Auto (både trådlös och trådad Auto fungerar på samma sätt).

Ett annat exempel är att en Wear-klocka automatiskt läser in alla WiFi-nät som din telefon känner till och har lösenord till.

 

Nej, inte Android Auto på denna bil!

 

Nu har jag testat igen med Android 15 installerat.

Problemet verkar vara likadant, med skillnaden att aviseringsrutan om att koppla upp telefonen till en ny enhet faktiskt visas på telefonen utan att försvinna nu. Jag har alltså valet att trycka anslut eller avbryt.
Men samtidigt visas en dialogruta på bilen där jag kan trycka anslut, nu har jag inte testat att trycka ja till det (för jag vill inte parkoppla dem) men min känsla är att ett knapptryck på bilen skulle räcka för att skapa en parkoppling, utan godkännande från telefonen.

Om den sista gissningen stämmer så är det fortfarande en säkerhetsbrist.
I vilket fall är det fortfarande en bugg, då Google TV-appen triggar denna Bluetooth-uppkoppling helt utan anledning.