2026年1月15日,《Engadget》報導了一項與Google Fast Pair協議有關的安全漏洞,這一缺陷可以影響多達17款耳機和揚聲器模型,使得黑客在與設備藍牙連接範圍內擁有竊聽的可能性。這一漏洞由比利時魯汀大學的計算機安全及工業加密學小組發現,並被命名為WhisperPair。研究者指出,只需數秒鐘的時間,黑客便能利用這一漏洞來控制已經連接的音訊設備,從而透過設備的麥克風竊聽周圍的聲音,甚至可能追蹤用戶的位置。
根據報導,這一安全風險源於一些硬體合作夥伴對Google Fast Pair協議的錯誤實現。根據Google的說法,Fast Pair應當僅在音訊設備處於配對模式時允許新連接,但部分合作夥伴在實施時未能遵循正確流程,這使得黑客能夠在設備已經與用戶的設備配對後,再次進行連接。
KU Leuven大學的研究者Sayon Duttagupta表示:“你在街上走路,耳機裡播放著音樂。在不到15秒的時間內,我們可以劫持你的設備。”此外,若音視頻設備從未與Google帳戶配對,黑客就不僅有機會對該設備進行配對,還能將設備鏈接到自己的Google帳戶,利用Google的Find Hub工具追蹤其位置。
Google隨後針對這一安全漏洞回應表示,已於九月份提供給硬體合作夥伴建議的修補方案,並已對Pixel Buds進行更新。據報導,這17款受影響的設備來自十個不同品牌,包括Sony、Jabra、JBL、Marshall、Xiaomi、Nothing、OnePlus、Soundcore以及Logitech。
不過,研究者對於許多用戶未能定期更新設備的現狀表示擔憂,因為壓根不會安裝第三方製造商的應用,從而使設備持續處於風險狀態。面對這一重大的安全挑戰,專家們因而建議用戶務必定期檢查和更新其音訊設備以確保安全。這一報告的詳細信息可參閱Engadget的原報導。
