Google Fast Pairは、Android端末に対応するワイヤレスイヤホンなどを近づけるだけで、タップ1つで接続が完了する便利な機能です。しかし、このFast Pairに重大な脆弱性が存在し、攻撃者によって音声を乗っ取られるなどのリスクがあると伝えられています。
ベルギーのルーヴェン・カトリック大学の研究者は、GoogleのFast Pairプロトコルに「WhisperPair」と名付けた脆弱性があると報告しました。この問題はソニーやJBL、Marshall、Xiaomi、Nothingといった人気Bluetoothイヤホンに影響し、対象デバイスは数億台規模に及ぶとされています。
脆弱性の内容は、Fast Pairが高速なペアリングを優先するあまり、認証が十分に行われない点にあります。その結果、Bluetoothの通信範囲内(約15メートル)にいる攻撃者がユーザーに気づかれることなく接続できてしまうようです。
一度接続されると、音声を再生されたり、マイクから音声を録音(盗聴)されたり、さらには位置情報を追跡される可能性もあります。
Airoha Technology製などのBluetoothチップに原因があるとされていますが、すでに修正作業は進められています。Airohaは更新済みソフトウェアを各メーカーに提供しており、それを受けて各社が専用アプリ経由でファームウェアアップデートの配信を開始しています。
ただし、スマートフォンとは異なり、イヤホンの専用アプリは起動しなければ更新通知が表示されない場合がほとんどです。そのため、アップデートが配信されていることに気づかないまま、多くのユーザーが脆弱な状態に留まる恐れがあります。この記事を読んだワイヤレスイヤホンのユーザーは一度それぞれの専用アプリを開き、更新の有無を確認することをおすすめします。
なお、Googleは2025年8月以降、この問題を「重大」と位置付け、研究者と協力して修正に取り組んできたそう。現時点では、この脆弱性が実際の環境で悪用された証拠は確認されていないとのことです。
Source: WhisperPair
via: PhoneArena
