WhisperPair高危漏洞曝光，数亿蓝牙音频设备面临风险

这里可以调整气泡内文字大小！滑动试试吧！ ×

12 px

26 px

荷语鲁汶大学的研究团队披露了一个名为WhisperPair的高危漏洞，该漏洞直接影响支持谷歌Fast Pair（快速配对）协议的音频设备。Fast Pair协议旨在简化蓝牙连接流程，使用户手机能迅速发现并连接附近的音频设备。然而，研究发现部分制造商在实施该协议时存在疏忽，导致设备存在安全隐患。

根据Fast Pair协议规范，设备在已连接状态下应拒绝新的配对请求。但研究团队测试发现，来自10个品牌的17款设备均未能执行这一安全逻辑。攻击者可通过获取特定型号的ID，伪装成合法请求强制介入，而入侵门槛极低，仅需一台廉价的树莓派设备，且处于目标蓝牙范围内（测试显示约14米，实际可能更远），无需任何身份验证即可在15秒内通过无线方式劫持目标设备。

一旦攻击者利用该漏洞成功连接，不仅能控制声音输出，还能激活耳机的内置麦克风进行隐蔽窃听。更令人担忧的是，该漏洞还衍生出一种高危的地理位置追踪手段，iPhone用户尤其容易中招。若用户的蓝牙耳机（如索尼或谷歌产品）仅连接过iPhone而未绑定谷歌账号，黑客便能通过漏洞将设备强制绑定至自己的谷歌账号下，随后利用谷歌的“Find Hub”设备定位网络实时监控受害者行踪。尽管系统可能会发送“未知追踪器”警报，但用户往往容易忽略，从而陷入持续被监视的风险。

此次漏洞影响范围广泛，涵盖索尼、JBL、声阔及谷歌自家产品等任何兼容Fast Pair的设备。有媒体表示，全球数亿台音频设备需打补丁以消除隐患。幸运的是，研究团队早在去年8月便已将该发现通报给谷歌，谷歌随后与各大硬件制造商合作开发了修复方案，并表示目前没有证据表明有黑客在实验室外利用该漏洞发起攻击。

目前，小米、JBL和罗技等品牌已表示正在或已经通过官方App推送固件更新。然而，研究人员警告称，由于大多数用户缺乏定期更新耳机固件的习惯，甚至不知道需要下载厂商App来打补丁，这些漏洞可能会在未来数月甚至数年内持续存在。