比利时荷语鲁汶大学的安全研究人员于近日披露了一项名为WhisperPair的严重安全漏洞,该漏洞波及全球数亿台蓝牙音频设备。研究指出,谷歌快速配对功能所依赖的蓝牙协议存在多处设计缺陷,使得攻击者在约15米范围内,仅用10至15秒即可悄无声息地接管已配对的耳机、耳塞或扬声器等设备。

经验证,该漏洞至少影响来自10家主流厂商的17款音频产品,涵盖索尼全系列WH-1000X旗舰降噪耳机(包括WH-1000XM6、XM5与XM4型号)、WF-1000XM5真无线耳机,以及谷歌Pixel Buds Pro 2、Nothing Ear (a)、一加Nord Buds 3 Pro、Jabra Elite 8 Active,并涉及JBL、Marshall、Soundcore、罗技和小米的部分蓝牙音频设备。

一旦设备遭攻击者利用WhisperPair漏洞入侵,攻击方将获得对其的完全控制权。具体风险包括:可强制在设备上以任意音量播放指定音频内容,未经授权激活内置麦克风以监听用户对话及周围环境声音,干扰或中断正在进行的通话连接。更严重的是,针对谷歌Pixel Buds Pro 2及五款索尼耳机型号,攻击者可通过“查找中心”功能非法获取设备所有权,从而实现对用户地理位置的持续追踪。

目前,相关平台方已确认该漏洞存在,并向合作厂商发出通知。尽管部分自有产品已推出更新补丁,但整体修复工作仍需依赖各硬件品牌独立推进。研究人员同时警告,现有修补方案可能存在绕过风险,且许多用户因未安装配套应用程序,难以及时接收和应用安全更新。

专家建议用户尽快为所有支持快速配对的设备安装最新固件补丁。然而现阶段该功能无法由用户手动关闭,防御能力受限,因此需高度关注厂商发布的后续更新信息。