15秒奪取耳機控制權：Google Fast Pair 協定爆發 WhisperPair 嚴重漏洞

您戴在耳上的藍牙耳機可能正成為間諜的工具。比利時魯汶大學（KU Leuven）的研究團隊近期揭露了名為「WhisperPair」的漏洞，該漏洞存在於 Google 廣泛推廣的 Fast Pair 快速配對協定中。只需不到 15秒，攻擊者就能遠端控制您的設備，進行監聽甚至定位追蹤。

WhisperPair 漏洞的技術細節與品牌衝擊

研究指出，全球超過 數億台 音訊設備受此漏洞威脅。涵蓋品牌包括 Sony、JBL、Xiaomi、Logitech 及 Google 本身。攻擊者在藍牙有效範圍（約 14公尺）內，可利用該協定實施以下行為：

• 劫持麥克風：監聽用戶周邊環境音。
• 干擾通訊：竊聽或中斷電話內容，播放惡意音訊。
• 精準追蹤：即使是 iPhone 用戶，攻擊者也能將耳機與其自身的 Google 帳號綁定，藉此透過 Find Hub 定位用戶。

修補難題：物聯網更新的隱形屏障

儘管 Google 已發布安全建議並與廠商聯繫，但實際修復極具挑戰。多數耳機需透過各品牌的專屬應用程式（App）才能完成 韌體更新。研究員 Seppe Wyns 直言，若用戶未安裝 Sony 或 JBL 的 App，根本無從得知更新消息，這使得漏洞可能在未來數年內依然存在。