比利時研究團隊揭示 Google Fast Pair 協定存在重大安全漏洞「WhisperPair」,全球逾億無線耳機面臨竊聽及追蹤風險。黑客可於近距離內接管裝置並濫用尋找網絡進行定位。Google 已緊急發布修正方案,呼籲 Sony、小米及 JBL 等品牌用戶盡快透過官方應用程式更新韌體以保私隱安全。
即刻【按此】,用 App 睇更多產品開箱影片
研究揭示 Google Fast Pair 安全漏洞:逾億無線耳機面臨竊聽及追蹤風險
數以億計的無線耳機、耳塞及揚聲器用戶正陷於安全威脅。比利時魯汶大學(KU Leuven)研究團隊近日發現,Google 開發的快速配對協定「Fast Pair」存在嚴重漏洞。黑客可利用名為「WhisperPair」的攻擊手段,在短短數秒內接管裝置,進行遠程竊聽甚至地理位置追蹤。
協定設計缺陷 配對程序淪入侵門戶
Fast Pair 旨在簡化藍牙配件與裝置間的連接流程,實現「一按即配」。然而,研究指出大量產品未有正確執行相關技術標準。正常情況下,裝置應自動忽略非配對模式下的請求,但許多受影響裝置並未嚴格執行此項核查,導致黑客能強行啟動並完成藍牙配對。
研究顯示,黑客只需身處目標裝置 14 米(約 46 呎)範圍內,即可在數秒內發動攻擊,獲取裝置的完整控制權,包括動用麥克風監聽對話。
濫用「尋找裝置」網絡 受害者或被長期追蹤
更嚴重的漏洞涉及 Google 的「尋找裝置」(Find My Device)網絡。黑客可將受害者的裝置與自己的 Google 帳號綁定,藉此利用群眾外包(Crowdsourced)定位功能進行追蹤。
研究人員警告,即使受害者收到「不明追蹤物」警告,由於通知顯示的是用戶自身的裝置,用戶極可能誤以為是系統錯誤(Bug)而忽略,令黑客能進行長期監控。報告強調,即使是從未使用過 Android 裝置的用戶,若其耳機具備相關功能,同樣面臨此風險。
涉及多個知名品牌 Google 已發布修復補丁
受影響品牌名單廣泛,包括 Sony、JBL、小米、Nothing、OnePlus、Jabra 及 Google。其中,Sony 及 Google 的部分耳機型號被證實極易受地理位置追蹤攻擊。
Google 回應查詢時表示,目前已為 Pixel Buds 推出修正方案,並更新了 Fast Pair 的認證要求,向製造商提供修復建議。Google 補充,目前尚未發現實驗室環境以外的惡意利用案例。
專家呼籲盡快更新韌體
由於安全威脅源於軟體層面,用戶必須透過製造商提供的官方應用程式(App)檢查並安裝最新的韌體(Firmware)更新。例如,持有 Sony 指定型號(如 WH-1000XM5/XM6)的用戶,應確保已下載 Sony 官方 App 並完成更新以堵塞漏洞。
事實上,無線裝置的安全性早已引起政界關注。前美國副總統 Kamala Harris 早前受訪時曾透露,基於國家安全情報工作的經驗,她始終堅持使用有線耳機。她直言,在公共場所使用無線耳機存在被竊聽風險,有線連接在通訊安全上更具保障。
【相關報道】
【相關話題】半價入手iPhone 17 Pro Max 電訊商新春優惠 免費免VPN玩Gemini ChatGPT
農曆新年將至,各大電訊商紛紛推出迎新優惠吸客。SmarTone 宣布推出新春轉台「福袋六重奏」。除了以接近半價的優惠入手 iPhone 17 Pro Max 外,更首度將 AI 服務納入贈送範圍,讓用戶無需 VPN 即可體驗熱門 AI 平台。
Source: ezone.hk