比利时荷语鲁汶大学的安全研究团队近日披露了一个被命名为WhisperPair的安全漏洞,该漏洞波及全球数亿台蓝牙音频设备。研究显示,谷歌快速配对蓝牙协议中存在多项严重安全缺陷,使得攻击者在约15米范围内,仅用10至15秒即可无声接管已配对的耳机、耳塞或扬声器等设备。

目前已确认至少有10家主流厂商的17款音频产品受到影响,涵盖索尼全系列WH-1000X旗舰型号(包括WH-1000XM6、XM5和XM4)、WF-1000XM5真无线耳机,以及谷歌Pixel Buds Pro 2、Nothing Ear (a)、一加Nord Buds 3 Pro、Jabra Elite 8 Active,还有来自JBL、Marshall、Soundcore、罗技和小米的部分产品。

利用该漏洞,攻击者可实现对设备的全面控制。具体威胁包括随意注入音频内容,在任意音量下通过耳机或扬声器播放声音;激活设备内置麦克风,窃听用户对话及周围环境声响;干扰或中断正在进行的通话连接。更严重的是,针对谷歌Pixel Buds Pro 2及五款索尼耳机型号,攻击者可通过“查找中心”功能非法取得设备所有权,进而持续追踪设备持有者的地理位置。

相关问题已获谷歌方面确认,并已向合作厂商发出通知。尽管谷歌已为其自有设备推出修复更新,但各品牌仍需独立完成自身产品的安全补丁部署。研究人员同时指出,当前的修复方案存在被绕过的风险,且由于许多用户未安装配套的应用程序,可能导致无法及时接收到更新推送。

目前,用户尚无法手动关闭快速配对功能以规避风险。专家建议应尽快为所有支持Fast Pair的设备安装最新安全补丁,以降低潜在威胁。