Google Fast Pairデバイスに欠陥、 hackerが盗聴可能

セキュリティ研究者が、Google Fast Pairプロトコルを使用する17のオーディオデバイスにWhisperPairという脆弱性を発見。ハッカーがBluetooth範囲内でマイクにアクセスし位置を追跡可能。この欠陥はSonyやGoogleを含む10社の製品に影響し、ペアリング規格の不適切な実装が原因。Googleは研究者と協力して対応したが、完全な修正はハードウェアパートナー次第。

ベルギーのKU Leuven大学の研究者チームは、2026年1月15日にWhisperPair脆弱性を公開し、Google Fast Pairプロトコル認定の17のヘッドホンとスピーカーモデルに影響。このワンタップペアリング機能はBluetooth接続を簡素化する目的で設計されたが、一部のハードウェアパートナーが不適切に実装し、ペアリングモード外でも不正ペアリングが可能に。攻撃にはBluetooth範囲内(最大14m)でデバイスモデル番号を知る必要があり、容易に入手可能。デバイス乗っ取りには中央値10秒、場合によっては15秒未満。KU LeuvenのSayon Duttagupta研究者がWiredに説明:「通りを歩きながらヘッドホンで音楽を聴いている。15秒以内にデバイスを乗っ取れます。つまりマイクをオンにして周囲音を聞けます。オーディオ注入、位置追跡も可能。」接続後、攻撃者はオーディオストリーム中断、自音再生、マイク盗聴、Google Find Hubによる位置追跡が可能。Android非ユーザーでもGoogleアカウント未紐付けなら、ハッカーが自アカウントに紐付け可能。研究者は2025年8月にGoogleへ通知、脆弱性報奨金プログラム経由で協力。Googleは9月にパートナーへ修正提供とFind Hubネットワーク更新を実施したが、チームは即座に回避策発見。Google報道官:「セキュリティ研究者との協力に感謝... これらの脆弱性を修正し、レポートのラボ環境外での悪用証拠なし。最高のセキュリティ慣行として、ヘッドホンの最新ファームウェア更新を確認してください。」影響メーカー:Sony、Jabra、JBL、Marshall、Xiaomi、Nothing、OnePlus、Soundcore、Logitech、Google。Google Pixel Budsはパッチ適用済み、OnePlus調査中。欠陥無効化不可、多くのユーザーがメーカーアプリ未インストールで脆弱。研究者はファームウェア定期確認と疑わしい場合ファクトリーリセット推奨、現時点で実世界エクスプロイトなし。

関連記事

Illustration of a person checking their phone for a spoofed call warning on Android, highlighting Google's new deepfake detection feature.
AIによって生成された画像

Google adds detection for spoofed calls to Android phones

AIによるレポート AIによって生成された画像

Google is rolling out a new feature to Android devices that detects impersonation scams involving spoofed calls. The update targets the rising threat of AI-generated deepfake voices in financial fraud. It begins deploying this month on phones running Android 12 and higher.

A researcher has shown that the Sound Blaster Katana V2X speaker from Creative Technologies can be used to infect a connected computer with malicious commands over Bluetooth. The attack requires no pairing and works even without physical access to the device.

AIによるレポート

A vulnerability in Google Gemini on Android allowed crafted notifications from apps like WhatsApp and Slack to manipulate the AI's responses and connected tools. The issue, discovered by SafeBreach, has been addressed through server-side changes.

このウェブサイトはCookieを使用します

サイトを改善するための分析にCookieを使用します。詳細については、プライバシーポリシーをお読みください。
拒否