快科技1月21日消息,比利时荷语鲁汶大学(KU Leuven University)的安全研究人员揭露了一项名为WhisperPair的漏洞,影响数亿蓝牙音频设备。
据悉,该研究发现,谷歌快速配对(Google Fast Pair)蓝牙协议存在一系列严重漏洞,攻击者在蓝牙有效范围内(约50英尺,约15米)可在短短10-15 秒内悄无声息地控制已配对的耳机、耳塞和扬声器。
经确认,该漏洞至少会影响10家主要制造商的17款音频配件,其中包括:索尼的整个WH-1000X旗舰系列(WH-1000XM6、XM5和XM4)、WF-1000XM5 耳机、谷歌 Pixel Buds Pro 2、Nothing Ear (a)、一加 Nord Buds 3 Pro、Jabra Elite 8 Active,以及来自JBL、Marshall、Soundcore、罗技和小米的产品。
一旦攻击者利用WhisperPair 漏洞,他们就能完全控制音频设备,例如中断音频流或播放他们选择的音频。然而,WhisperPair还允许进行位置追踪和麦克风访问,这意味着攻击者可以窃听使用者的对话,甚至跟踪使用者的行踪。具体包括:
音频注入:通过耳机或扬声器以任意音量播放声音。
麦克风访问权限:激活内置麦克风以窃听对话和周围环境。
通话中断:拦截或干扰电话通话。
位置追踪:对于Google Pixel Buds Pro 2和五款索尼耳机,攻击者可以通过Google的“查找中心”功能拥有该设备的所有权,并持续追踪你的位置。
据悉,Google已经确认了这个漏洞并通知其合作伙伴,但修补工作仍需各个品牌自行进行。
虽然Google已经对其自家产品进行更新,但研究人员指出,这个修补措施存在绕过的可能性,并且许多使用者可能因未安装配件应用程序而无法及时获得更新。
研究人员建议,及时更新Fast Pair设备的所有补丁,用户目前无法自行禁用此功能。
