新的您現在可以收聽福克斯新聞的文章!
Google 設計了“快速配對”,使藍牙連接變得快速、輕鬆。單擊一下即可覆蓋手動菜單、代碼和配對。這種便利伴隨著嚴重的風險。魯汶大學的安全研究人員發現了谷歌快速配對協議中的一個缺陷,該協議允許對設備進行靜默控制。他們將這種攻擊方法命名為 WhisperPair。附近的攻擊者可以在用戶不知情的情況下連接到耳機、耳塞或揚聲器。在某些情況下,攻擊者還可以跟踪用戶的位置。更令人擔憂的是,受害者不需要使用Android或擁有任何谷歌產品。 iPhone 用戶也受到影響。
註冊我的免費 CyberGuy 報告。
獲取最佳技術提示緊急安全警報和獨家優惠直接發送到您的收件箱。另外,當您加入我時,您將可以立即免費訪問我的《終極詐騙生存指南》。 CYBERGUY.COM 通訊
蘋果警告數百萬部 iPhone 可能受到威脅
快速配對使藍牙耳機的連接速度更快,但研究人員發現,某些設備在未經適當許可的情況下接受新的配對。 (庫爾特·“網絡專家”·納特森)
什麼是 WhisperPair?它如何與藍牙設備競爭?
快速配對通過將設備的身份廣播到附近的手機和計算機來實現。該快捷方式使配對速度更快。研究人員發現許多設備忽略了重要的規則。當他們已經連接時,他們仍然會接受新的匹配。這為虐待打開了大門。
在藍牙範圍內,攻擊者可以在設備連接後約 10 到 15 秒內以靜默方式與設備配對。他們可以中斷通話、發出噪音或激活麥克風。該攻擊不需要特殊硬件,可以使用手機、筆記本電腦或低成本設備(例如 Raspberry Pi)進行。研究人員表示,攻擊者實際上成為了設備的所有者。
受快速配對漏洞影響的音頻品牌
研究人員測試了來自索尼、Jabra、JBL、Marshall、小米、Nothing、OnePlus、Soundcore、Logitech 和 Google 等主要品牌的 17 款支持快速匹配的設備。這些產品大多數都通過了谷歌的認證測試,這一細節引發了人們對它們如何進行安全檢查的令人不安的疑問。
耳機如何成為追踪設備?
一些受影響的型號還帶來了更大的隱私問題。某些 Google 和索尼設備可與 Find Hub 配合使用,後者使用附近的設備來估計位置。如果耳機從未鏈接到 Google 帳戶,攻擊者可以先認領它。這使得連續跟踪用戶的動作成為可能。如果受害者稍後收到後續通知,則可能看起來是指自己的設備。這使得警報很容易被視為錯誤而被忽略。
遠程控制斷開後GOOGLE NEST繼續傳輸數據 研究人員發現
包含來自 Find Hub 網絡的位置的攻擊者儀表板 (魯汶大學)
為什麼這麼多快速配對設備可能容易受到攻擊?
還有一個大多數用戶從未考慮過的問題。耳機和揚聲器需要固件更新。這些更新通常通過許多人從未安裝的品牌特定應用程序來實現。如果您從未下載過該應用程序,您將看不到任何更新。這意味著易受攻擊的設備可能會暴露數月甚至數年。
修復此漏洞的唯一方法是安裝設備製造商發布的軟件更新。儘管許多公司已經發布了補丁,但是,一些受影響的型號可能還沒有可用的更新。用戶應直接與製造商聯繫,以確認其特定設備是否有可用的安全更新。
為什麼便利總是會產生安全差距?
藍牙本身沒有問題。蟲子生活在頂部的舒適層中。快速匹配優先考慮速度而不是嚴格的所有權執行。研究人員認為,匹配應該需要所有權的加密證明。如果沒有舒適的功能,它就會成為攻擊面。安全性和易用性不必衝突。但我們必須一起設計。
谷歌回應 Fast Match WhisperPair 安全漏洞
谷歌表示,正在與研究人員合作修復 WhisperPair 漏洞,並於 9 月初開始向耳機製造商發送推薦補丁。谷歌還確認其自家 Pixel 耳機已打補丁。
谷歌發言人在發給 CyberGuy 的一份聲明中表示:“我們感謝通過該計劃與安全研究人員進行合作。漏洞獎勵有助於確保我們用戶的安全。我們與這些研究人員合作修補這些漏洞。我們沒有看到本報告實驗室設置之外的利用證據。這是為了實現最佳安全實踐。我們建議用戶檢查耳機是否有最新的固件更新。我們正在不斷評估和提高 Fast Match 和 Find Hub 的安全性。”
谷歌表示,主要問題源於一些配件製造商沒有完全遵守快速匹配要求。這些要求要求配件僅在用戶打算將設備置於配對模式時接受配對請求。據谷歌稱,研究人員發現的一些音頻和麥克風風險是由於未能執行這些規則造成的。
為了降低未來的風險,谷歌表示,它已經更新了快速匹配驗證器和認證要求,以明確測試設備是否強制執行正確的配對模式驗證。谷歌還表示,它已向配件合作夥伴提供了修復程序,一旦實施即可解決所有相關問題。
在位置跟踪方面,谷歌表示,它已經推出了服務器端修復程序,如果從未與 Android 設備配對過,該修復程序可以悄悄地阻止配件在 Find Hub 網絡中註冊。此更改凸顯了在跨設備的特定場景中跟踪 Find Hub 的風險。包括Google自己的配件
然而,研究人員質疑這些補丁到達用戶的速度有多快,以及谷歌在多大程度上有能力在不涉及谷歌硬件的情況下實施現實世界的違規行為。他們還認為,認證中的漏洞使得有缺陷的實施進入了更廣泛的市場。這表明存在更廣泛的系統性問題。
目前,谷歌和研究人員在一個重要觀點上達成了一致。用戶必須安裝製造商固件更新以提供保護。可用性可能因設備和品牌而異。
對智能家居黑客攻擊的恐懼:什麼是真實的,什麼是誇大的?
顯示受害者自己設備的未經請求的跟踪通知 (魯汶大學)
現在如何降低風險
您無法完全禁用快速配對。但您可以降低風險。
1) 檢查您的設備是否受到影響。
如果您使用支持 Google Fast Pair 的藍牙配件(包括無線耳機、耳機或揚聲器),您可能會受到影響。研究人員創建了一個公共搜索工具,允許您搜索特定的設備型號並查看它是否容易受到攻擊。檢查您的設備是簡單的第一步。在決定如何繼續之前,太好了。 Whisperpair.eu/vulnerable-devices 查看您的設備是否在列表中。
2) 更新您的音頻設備
安裝耳機或揚聲器製造商提供的官方應用程序。檢查固件更新並立即應用它們。
3)避免在公共場所匹配
在您的個人空間中配對新設備 避免在附近有陌生人的機場、咖啡店或健身房進行配對。
4)如果您感覺有問題,請恢復出廠設置。
意外中斷、奇怪的聲音或連接中斷都是警告信號。恢復出廠設置可以刪除未經授權的配對。但它無法修復隱藏的漏洞。仍需要固件更新。
5) 不需要時關閉藍牙。
僅在使用期間必須打開藍牙。不使用時關閉藍牙將限制暴露。但如果設備未安裝,並不能消除隱患。
6)重置二手設備
配對前務必將使用過的耳機或揚聲器重置為出廠默認設置。這將刪除隱藏的鏈接和帳戶關聯。
7) 認真對待跟踪通知。
檢查 Find Hub 或 Apple 跟踪通知,即使它們似乎是指您自己的設備。
8) 保持手機更新
立即安裝操作系統更新。即使配件滯後,平台補丁也可以阻止漏洞利用路徑。
庫爾特的要點
WhisperPair 展示了小捷徑如何導致重大隱私失敗。耳機感覺無害。但也有麥克風、收音機和軟件需要維護和更新。忽略這些會產生攻擊者樂於利用的盲點。現在保持安全意味著要注意您曾經忽視的設備。
是否應該允許公司優先考慮快速配對而不是通過加密方式驗證設備所有權?請寫信告知我們 Cyberguy.com
單擊此處下載福克斯新聞應用程序。
註冊我的免費 CyberGuy 報告。
獲取最佳技術提示緊急安全警報和獨家優惠直接發送到您的收件箱。另外,當您加入我時,您將可以立即免費訪問我的《終極詐騙生存指南》。 CYBERGUY.COM 通訊
版權所有 2026 CyberGuy.com 保留所有權利。
