Google Fast Pairの脆弱性「WhisperPair」により数億台のイヤホンが盗聴・追跡の危機に

わずか15秒であなたのイヤホンがスパイツールに変わるかもしれません。ベルギーのルーヴェン・カトリック大学（KU Leuven）の研究チームは、Googleが開発した簡易接続プロトコル「Fast Pair」に深刻な脆弱性があることを発見しました。「WhisperPair」と名付けられたこの攻撃手法により、悪意のある第三者が数億台にのぼるオーディオデバイスを密かに乗っ取ることが可能になります。

WhisperPair 脆弱性の詳細と影響範囲

研究チームによると、この脆弱性はSony、JBL、Xiaomi、そしてGoogle自社製品を含む10社、合計17モデル以上のアクセサリーで確認されました。攻撃者はBluetoothの通信範囲内（約14メートル以内）であれば、ユーザーに気づかれることなくデバイスをペアリングし、マイクを起動して周囲の音を盗聴したり、勝手に音声を再生したりすることができます。

• マイクの遠隔操作による周囲の盗聴
• 通話内容の傍受や音声ストリームの妨害
• Find Hub機能を悪用した位置情報の追跡

iPhoneユーザーも標的に？解決を阻む「更新」の壁

驚くべきことに、この問題はAndroidユーザーに限定されません。iPhoneユーザーが該当するイヤホンを使用している場合でも、攻撃者がそのデバイスを自身のGoogleアカウントに紐付けることで、ターゲットの居場所を常に追跡できることが判明しました。Googleはセキュリティアドバイザリを発行し、多くのメーカーが修正パッチを公開していますが、イヤホンのファームウェア更新には専用アプリのインストールが必要であり、多くのユーザーが未対策のまま放置されるリスクが高いと、研究者のSayon Duttagupta氏は警告しています。