蓝牙WhisperPair协议漏洞：数十亿设备或遭远程劫持

免费影视、动漫、音乐、游戏、小说资源长期稳定更新！ 👉 点此立即查看 👈

比利时荷语鲁汶大学的研究团队近日公布了一项名为WhisperPair的安全漏洞，全球数十亿蓝牙音频设备可能因此受到影响。研究显示，谷歌快速配对协议中存在多处严重缺陷，使攻击者能够在约15米范围内，仅需10到15秒便可无声接管已配对的耳机、耳塞或扬声器等设备。

目前，已确认至少10家主流厂商的17款音频产品面临风险，其中包括索尼全系列WH-1000X旗舰型号（含WH-1000XM6、XM5及XM4）、WF-1000XM5真无线耳机，以及谷歌Pixel Buds Pro 2、Nothing Ear (a)、一加Nord Buds 3 Pro、Jabra Elite 8 Active，还有来自JBL、Marshall、Soundcore、罗技和小米的部分产品。

利用此漏洞，攻击者可实现对设备的全面操控。具体威胁包括任意注入音频内容、在任意音量下通过耳机或扬声器播放声音；激活设备内置麦克风，窃听用户对话及环境声响；干扰或中断正在进行的通话连接。更严重的是，针对谷歌Pixel Buds Pro 2及五款索尼耳机型号，攻击者甚至可通过“查找中心”功能非法获取设备完全权限，从而持续追踪设备持有者的地理位置。

相关问题已获谷歌方面确认，并向合作厂商发出通知。尽管谷歌已为其自有设备发布修复更新，但各品牌仍需独立完成自身产品的安全补丁部署。研究人员同时指出，当前的修复方案存在被绕过的风险，且由于许多用户未安装配套的应用程序，可能导致无法及时接收到更新推送。

目前，用户尚无法手动关闭快速配对功能以规避风险。专家建议应尽快为所有支持Fast Pair的设备安装最新安全补丁，以降低潜在威胁。