- 註冊時間
- 2025-2-12
- 最後登錄
- 2026-5-4
- 主題
- 查看
- 積分
- 2011
- 閱讀權限
- 130
- 文章
- 781
- 相冊
- 1
- 日誌
- 0
 
狀態︰
離線 
|
資安專家揭露一項名為「WhisperPair」的安全漏洞,涉及支援Google Fast Pair(快速配對)協議的無線音訊設備,由於Fast Pair已被廣泛採用,包括Sony、Google、JBL、Bose、Soundcore等多家品牌無線耳機都可能面臨風險;研究團隊警告,該漏洞的潛在危機恐波及全球數億的使用者。
WhisperPair漏洞由比利時魯汶大學的研究團隊所發現,該報告指出,Google Fast Pair是一個能讓Android裝置和藍牙耳機快速配對的功能;然而,依照規範協議,裝置在已連線狀態下,應該要拒絕新的配對請求,但部分製造商在設計時未落實這項安全機制,因而留下漏洞。
遭入侵恐遭竊聽追蹤位置
正是這項設計疏忽,使攻擊者只需利用簡單設備,在一般藍牙有效距離內(實測最遠可達14公尺),就能在短短幾秒內完成攻擊,整個過程完全不需要實體接觸。一旦成功入侵,攻擊者不僅能控制耳機的聲音輸出,還可能透過內建麥克風進行竊聽,甚至悄悄將耳機加入Google的Find Hub(尋找我的裝置)服務,進而遠端追蹤位置,對使用者隱私構成極大威脅。
值得注意的是,iPhone使用者同樣不能掉以輕心,雖然iOS本身不支援Google Fast Pair,但若使用者的Fast Pair耳機僅連接過iPhone、從未綁定Google帳號,駭客便能透過漏洞將耳機強制綁定至自己的Google帳號。
影響多款熱門機型
研究人員在20多個藍牙設備上測試了WhisperPair攻擊,並成功入侵了其中的17個。報告中列出已知受影響的部分耳機產品,包括Sony WH-1000XM6、WH-1000XM5、WH-1000XM4、WH-CH720N,以及Google Pixel Buds Pro 2、Nothing Ear (a)、JBL Tune Beam、Redmi Buds 5 Pro、Bose QuietComfort Ultra、Soundcore Liberty 4 NC、Jabra Elite 8 Active、Beats Solo Buds等多款熱門機型。
多數品牌已釋出修復更新
所幸研究團隊已於2025年8月將此漏洞通報給Google,Google隨後也與各品牌展開合作,多數廠商也陸續釋出修復方案,不過不少使用者平時並沒有定期更新耳機韌體的習慣,使得相關風險仍可能持續存在。
專家也指出,雖然目前尚未出現實際攻擊案例,仍呼籲使用者盡快更新耳機韌體,以降低潛在風險。值得注意的是,部分品牌尚未提供修補更新。
|
-
總評分: SOGO幣 + 20
查看全部評分
|
發表於 2026-1-17 19:30:49
x 
發表於 2026-1-17 20:16:08