【安全资讯】谷歌Fast Pair协议漏洞致数亿蓝牙设备面临静默劫持风险

概要：

在万物互联时代，蓝牙设备的便捷性背后隐藏着安全风险。研究人员近日披露，谷歌Fast Pair协议中存在一个名为“WhisperPair”的关键安全漏洞，导致全球数亿无线耳机、扬声器等蓝牙配件面临被静默劫持的威胁。攻击者无需物理接触设备，即可在用户毫无察觉的情况下完成非法配对并完全控制设备，严重威胁用户隐私与设备安全。

主要内容：

比利时KU Leuven大学的研究团队发现，许多宣称支持谷歌Fast Pair协议的蓝牙设备制造商未能正确实施该协议最基本的安全检查机制。根据设计，Fast Pair设备应仅在用户明确将其置于配对模式时才接受新连接请求。然而实际测试显示，大量产品在任何时候都会愉快地接受新的配对请求，这为攻击者创造了可乘之机。

攻击者只需处于蓝牙有效范围内（通常约10米），即可向目标设备发送配对请求并建立连接，即使该设备正被原用户使用。一旦配对成功，攻击者将获得与合法所有者相同的访问权限，具体能力因设备而异，可能包括注入或中断音频、操控音量，甚至在某些情况下激活麦克风进行窃听。

更严重的是，部分Fast Pair设备已接入谷歌“查找我的设备”网络。若攻击者抢先完成配对，可将设备绑定至自己的账户，从而持续获取该设备的实时位置信息，实现物理跟踪。此漏洞的利用门槛极低，攻击者仅需一部普通智能手机或笔记本电脑，无需任何国家级资源或特殊硬件。

谷歌已获知此问题并与制造商合作推出修复补丁。目前部分厂商已通过固件更新进行修补，但覆盖范围有限，大量廉价设备可能永远无法获得更新。研究人员强调，漏洞根源并非蓝牙技术本身，而是设备制造商对Fast Pair规范的实施存在疏漏或不完整，这再次暴露了物联网设备供应链中安全标准执行不力的普遍问题。