IT之家 1 月 16 日消息，科技媒体 Android Headline 今天（1 月 16 日）发布博文，报道称来自荷语鲁汶大学（KU Leuven）的研究团队披露 WhisperPair 高危漏洞， 直接影响支持谷歌 Fast Pair（快速配对）协议的音频设备。 Fast Pair 主要目的是简化蓝牙连接流程，让手机能迅速发现附近的音频设备。而该漏洞根源， 在于部分制造商对实施谷歌 Fast Pair 协议时存在疏忽。 根据 Fast Pair 协议规范，设备在已连接状态下本应拒绝新的配对请求， 但该团队测试来自 10 个品牌的 17 款设备未能执行此安全逻辑。 攻击者可以通过获取特定型号的 ID（Model ID），伪装成合法请求强制介入。 攻击者实施入侵的门槛极低，仅需一台廉价的树莓派设备并处于目标蓝牙范围内（测试显示约 14 米，实际可能更远），无需任何身份验证， 即可在 15 秒内通过无线方式劫持目标设备。 IT之家附上演示视频如下： 一旦攻击者利用该漏洞成功连接，后果将不堪设想。除了能控制声音输出外，攻击者还能激活耳机的内置麦克风进行隐蔽窃听。 值得警惕的是，该漏洞还衍生出一种高危的地理位置追踪手段， 且 iPhone 用户更易中招。 如果用户的蓝牙耳机（如索尼或谷歌产品）仅连接过 iPhone 而未绑定谷歌账号， 黑客便能通过漏洞将该设备强制绑定至自己的谷歌账号下。 随后，黑客利用谷歌的"Find Hub"设备定位网络，即可实时监控受害者的行踪。虽然系统可能会发送"未知追踪器"警报，但用户往往会误以为是误报而忽略，从而陷入持续被监视的风险中。 此次漏洞影响范围广泛，涵盖索尼（Sony）、JBL、声阔（Soundcore）及谷歌自家产品等任何兼容 Fast Pair 的设备， 连线（Wired）表示全球数亿台音频设备需要打补丁 。 幸运的是，研究团队早在去年 8 月便将该发现通报给了谷歌。谷歌随后与各大硬件制造商展开合作，针对性地开发了修复方案。谷歌向连线表示：目前没有证据表明，在实验室外，有黑客利用该漏洞发起攻击。 小米、JBL 和罗技等品牌表示正在或已经通过其官方 App 推送固件更新（OTA）。然而，研究人员警告称，由于大多数用户缺乏定期更新耳机固件的习惯，甚至不知道需要下载厂商 App 来打补丁，这些漏洞可能会在未来数月甚至数年内持续存在。 参考 WhisperPair 详细介绍