粉絲團
Sony等多家品牌無線耳機被點名有安全漏洞。(圖/Sony官網,此僅為示意圖)
資安專家揭露一項名為「WhisperPair」的安全漏洞,涉及支援Google Fast Pair(快速配對)協議的無線音訊設備,由於Fast Pair已被廣泛採用,包括Sony、Google、JBL、Bose、Soundcore等多家品牌無線耳機都可能面臨風險;研究團隊警告,該漏洞的潛在危機恐波及全球數億的使用者。
WhisperPair漏洞由比利時魯汶大學的研究團隊所發現,該報告指出,Google Fast Pair是一個能讓Android裝置和藍牙耳機快速配對的功能;然而,依照規範協議,裝置在已連線狀態下,應該要拒絕新的配對請求,但部分製造商在設計時未落實這項安全機制,因而留下漏洞。
遭入侵恐遭竊聽追蹤位置
正是這項設計疏忽,使攻擊者只需利用簡單設備,在一般藍牙有效距離內(實測最遠可達14公尺),就能在短短幾秒內完成攻擊,整個過程完全不需要實體接觸。一旦成功入侵,攻擊者不僅能控制耳機的聲音輸出,還可能透過內建麥克風進行竊聽,甚至悄悄將耳機加入Google的Find Hub(尋找我的裝置)服務,進而遠端追蹤位置,對使用者隱私構成極大威脅。
Google Pixel Buds Pro 2也被點名有風險。(圖/翻攝官網)
值得注意的是,iPhone使用者同樣不能掉以輕心,雖然iOS本身不支援Google Fast Pair,但若使用者的Fast Pair耳機僅連接過iPhone、從未綁定Google帳號,駭客便能透過漏洞將耳機強制綁定至自己的Google帳號。
影響多款熱門機型
研究人員在20多個藍牙設備上測試了WhisperPair攻擊,並成功入侵了其中的17個。報告中列出已知受影響的部分耳機產品,包括Sony WH-1000XM6、WH-1000XM5、WH-1000XM4、WH-CH720N,以及Google Pixel Buds Pro 2、Nothing Ear (a)、JBL Tune Beam、Redmi Buds 5 Pro、Bose QuietComfort Ultra、Soundcore Liberty 4 NC、Jabra Elite 8 Active、Beats Solo Buds等多款熱門機型。
多數品牌已釋出修復更新
所幸研究團隊已於2025年8月將此漏洞通報給Google,Google隨後也與各品牌展開合作,多數廠商也陸續釋出修復方案,不過不少使用者平時並沒有定期更新耳機韌體的習慣,使得相關風險仍可能持續存在。
專家也指出,雖然目前尚未出現實際攻擊案例,仍呼籲使用者盡快更新耳機韌體,以降低潛在風險。值得注意的是,部分品牌尚未提供修補更新。
《你可能還想看》