セキュリティ研究者が、Google Fast Pairプロトコルを使用する17のオーディオデバイスにWhisperPairという脆弱性を発見。ハッカーがBluetooth範囲内でマイクにアクセスし位置を追跡可能。この欠陥はSonyやGoogleを含む10社の製品に影響し、ペアリング規格の不適切な実装が原因。Googleは研究者と協力して対応したが、完全な修正はハードウェアパートナー次第。
ベルギーのKU Leuven大学の研究者チームは、2026年1月15日にWhisperPair脆弱性を公開し、Google Fast Pairプロトコル認定の17のヘッドホンとスピーカーモデルに影響。このワンタップペアリング機能はBluetooth接続を簡素化する目的で設計されたが、一部のハードウェアパートナーが不適切に実装し、ペアリングモード外でも不正ペアリングが可能に。攻撃にはBluetooth範囲内(最大14m)でデバイスモデル番号を知る必要があり、容易に入手可能。デバイス乗っ取りには中央値10秒、場合によっては15秒未満。KU LeuvenのSayon Duttagupta研究者がWiredに説明:「通りを歩きながらヘッドホンで音楽を聴いている。15秒以内にデバイスを乗っ取れます。つまりマイクをオンにして周囲音を聞けます。オーディオ注入、位置追跡も可能。」接続後、攻撃者はオーディオストリーム中断、自音再生、マイク盗聴、Google Find Hubによる位置追跡が可能。Android非ユーザーでもGoogleアカウント未紐付けなら、ハッカーが自アカウントに紐付け可能。研究者は2025年8月にGoogleへ通知、脆弱性報奨金プログラム経由で協力。Googleは9月にパートナーへ修正提供とFind Hubネットワーク更新を実施したが、チームは即座に回避策発見。Google報道官:「セキュリティ研究者との協力に感謝... これらの脆弱性を修正し、レポートのラボ環境外での悪用証拠なし。最高のセキュリティ慣行として、ヘッドホンの最新ファームウェア更新を確認してください。」影響メーカー:Sony、Jabra、JBL、Marshall、Xiaomi、Nothing、OnePlus、Soundcore、Logitech、Google。Google Pixel Budsはパッチ適用済み、OnePlus調査中。欠陥無効化不可、多くのユーザーがメーカーアプリ未インストールで脆弱。研究者はファームウェア定期確認と疑わしい場合ファクトリーリセット推奨、現時点で実世界エクスプロイトなし。
