重大安全隐患曝光！索尼等10家热门蓝牙耳机全中招：10秒内无声劫持窃听、跟踪

比利时荷语鲁汶大学（KU Leuven University）的安全研究人员揭露了一项名为WhisperPair的漏洞，影响数亿蓝牙音频设备。

据悉，该研究发现，谷歌快速配对（Google Fast Pair）蓝牙协议存在一系列严重漏洞，攻击者在蓝牙有效范围内（约50英尺，约15米）可在短短10-15 秒内悄无声息地控制已配对的耳机、耳塞和扬声器。

经确认，该漏洞至少会影响10家主要制造商的17款音频配件，其中包括：索尼的整个WH-1000X旗舰系列（WH-1000XM6、XM5和XM4）、WF-1000XM5 耳机、谷歌 Pixel Buds Pro 2、Nothing Ear (a)、一加 Nord Buds 3 Pro、Jabra Elite 8 Active，以及来自JBL、Marshall、Soundcore、罗技和小米的产品。

一旦攻击者利用WhisperPair 漏洞，他们就能完全控制音频设备，例如中断音频流或播放他们选择的音频。然而，WhisperPair还允许进行位置追踪和麦克风访问，这意味着攻击者可以窃听使用者的对话，甚至跟踪使用者的行踪。具体包括：

音频注入：通过耳机或扬声器以任意音量播放声音。

麦克风访问权限：激活内置麦克风以窃听对话和周围环境。

通话中断：拦截或干扰电话通话。

位置追踪：对于Google Pixel Buds Pro 2和五款索尼耳机，攻击者可以通过Google的“查找中心”功能拥有该设备的所有权，并持续追踪你的位置。

据悉，Google已经确认了这个漏洞并通知其合作伙伴，但修补工作仍需各个品牌自行进行。

虽然Google已经对其自家产品进行更新，但研究人员指出，这个修补措施存在绕过的可能性，并且许多使用者可能因未安装配件应用程序而无法及时获得更新。

研究人员建议，及时更新Fast Pair设备的所有补丁，用户目前无法自行禁用此功能。