紧急安全警报！索尼等10家主流蓝牙耳机均存在严重漏洞：可在10秒内被静默劫持并实施窃听跟踪

1月21日消息，比利时荷语鲁汶大学（KU Leuven University）的安全研究人员发现了一个名为WhisperPair的漏洞，该漏洞对数亿台蓝牙音频设备造成影响。

据了解，这项研究指出，谷歌快速配对（Google Fast Pair）蓝牙协议存在一系列重大安全漏洞，攻击者只要处于蓝牙有效覆盖范围（大约50英尺，即15米左右）内，就能在短短10到15秒的时间里，在用户毫无察觉的情况下操控已经完成配对的耳机、耳塞以及扬声器设备。

经核实，这一漏洞至少对10家主流制造商的17款音频配件造成影响，涉及产品包括：索尼WH-1000X全系旗舰（WH-1000XM6、XM5与XM4）、WF-1000XM5耳机、谷歌Pixel Buds Pro 2、Nothing Ear (a)、一加Nord Buds 3 Pro、Jabra Elite 8 Active，还有JBL、Marshall、Soundcore、罗技及小米旗下的相关产品。

一旦攻击者利用WhisperPair漏洞，就能全面掌控音频设备，比如切断音频流或者播放他们指定的音频内容。不仅如此，WhisperPair还可被用于位置追踪与麦克风访问，这也就意味着攻击者能够窃听使用者的谈话，甚至对使用者的行踪进行跟踪。具体情况如下：

音频注入：通过耳机或扬声器以任意音量播放声音。

麦克风访问权限：启用内置麦克风以监听对话及周边环境。

通话中断：拦截或干扰电话通话。

位置追踪方面：针对Google Pixel Buds Pro 2以及五款索尼耳机，攻击者能够借助Google的“查找中心”功能获取这些设备的所有权，进而持续对使用者的位置进行追踪。

据了解，Google已核实该漏洞并告知其合作伙伴，不过漏洞的修补工作依旧需要各品牌自行开展。

尽管Google已对旗下产品完成更新，不过研究人员表示，该修补方案存在被绕过的可能，同时不少用户或许会因为没有安装配套应用程序，而无法第一时间获取更新。

研究人员建议，应及时为Fast Pair设备安装所有补丁更新，目前用户还无法自主关闭该功能。