咕咕嘎嘎简要陈述:
近日,来自比利时荷语鲁汶大学的安全研究团队披露了一项影响范围极广的蓝牙安全漏洞——“WhisperPair”(CVE-2025-36911),该漏洞直指谷歌Fast Pair(快速配对)协议,让全球数亿台无线音频设备陷入被劫持、窃听与追踪的风险。
漏洞核心:一场源于“规则疏忽”的安全危机
谷歌Fast Pair协议的初衷是简化蓝牙连接流程,让手机与音频设备实现秒速配对,大幅提升用户体验。但这项便捷功能的背后,却因部分硬件厂商的执行疏漏埋下了致命隐患。根据协议规范,蓝牙音频设备在未处于主动配对模式时,应直接忽略任何外部配对请求,这是保障设备安全的基础防线。然而研究团队测试发现,来自谷歌、索尼、小米、JBL、罗技等10个品牌的17款旗舰音频设备,均未严格执行这一验证逻辑,为攻击者打开了方便之门。
该漏洞的攻击门槛极低,攻击者仅需一台支持蓝牙的设备(如笔记本电脑、廉价树莓派甚至手机),在距离目标设备14米范围内,无需物理接触、无需用户授权,即可在15秒内强制完成配对。更值得警惕的是,漏洞影响并非局限于安卓用户——由于风险源于音频设备本身而非手机系统,仅连接iPhone的漏洞设备用户同样面临威胁,形成了跨系统的安全盲区。
攻击后果:从音频劫持到隐秘追踪的多重威胁
一旦配对成功,攻击者将获得设备的完全控制权,其破坏能力远超想象。最直接的影响是音频操控,攻击者可强行播放高音量音频,对用户造成干扰甚至听力伤害;更隐蔽的风险在于窃听——通过激活设备内置麦克风,攻击者能秘密录制用户的对话及周围环境声音,侵犯个人隐私。
尤为高危的是衍生的定位追踪功能。若漏洞设备从未绑定过谷歌账号(如仅连接iPhone的用户),攻击者可通过漏洞将设备强制绑定至自己的谷歌账号,借助谷歌Find Hub定位网络实时追踪受害者行踪。更具迷惑性的是,系统虽可能推送追踪警报,但会错误显示用户自身设备为追踪源,导致用户大概率将其当作系统误报忽略,从而陷入长期被监视的困境。
应对进展:补丁落地难掩用户习惯短板
幸运的是,研究团队已于2025年8月将漏洞通报给谷歌,谷歌给予了1.5万美元最高 bounty奖励,并启动了150天的漏洞披露窗口期,联合各硬件厂商推进修复工作。目前小米、JBL、罗技等品牌已通过官方App推送OTA固件更新,谷歌也同步优化了Fast Pair协议的安全机制,截至目前暂无实验室外的实际攻击案例报告。
但修复工作仍面临现实阻碍:多数用户缺乏定期更新音频设备固件的习惯,甚至不知道需通过品牌App获取补丁,导致漏洞可能在未来数月乃至数年内持续存在。这种“修复易、普及难”的困境,成为消费级智能设备安全防护的共性难题。