セキュリティ研究者が、GoogleのFast Pairプロトコルにおける重大な脆弱性を発見しました。これにより攻撃者はBluetoothオーディオアクセサリーを乗っ取り、ユーザーを追跡し、会話を盗聴できる可能性があります。
この欠陥(CVE-2025-36911として追跡され、WhisperPairと命名)は、GoogleのFast Pair機能に対応する複数メーカーのワイヤレスヘッドホン、イヤホン、スピーカーなど、数億台規模の製品に影響します。欠陥はアクセサリー側にあるため、スマートフォンのOSに関係なく影響を受け、脆弱なBluetoothデバイスを使用しているiPhoneユーザーも同様に危険にさらされます。
これを発見したKU LeuvenのComputer Security and Industrial Cryptographyグループの研究者は、この脆弱性は多くのフラッグシップ級オーディオアクセサリーにおけるFast Pairプロトコルの不適切な実装に起因すると説明しています。
Fast Pairの仕様では、Bluetoothデバイスはペアリングモードでない場合にペアリング要求を無視すべきとされていますが、多くのベンダーが製品でこのチェックを徹底しておらず、ユーザーの同意や認識なしに未承認のデバイスがペアリングを開始できてしまいます。
「Fast Pair手順を開始するには、Seeker(スマートフォン)がProvider(アクセサリー)に対し、ペアリングしたいことを示すメッセージを送信します。Fast Pairの仕様では、アクセサリーがペアリングモードでない場合、そのようなメッセージを無視すべきだと定めています」と、研究者らは述べています。
「しかし、多くのデバイスは実際にはこのチェックを強制しておらず、未承認のデバイスがペアリング処理を開始できてしまいます。脆弱なデバイスから返信を受け取った後、攻撃者は通常のBluetoothペアリングを確立することでFast Pair手順を完了できます。」
攻撃者は、Bluetooth対応の任意のデバイス(ノートPC、Raspberry Pi、あるいはスマートフォンなど)を用いて、Google、Jabra、JBL、Logitech、Marshall、Nothing、OnePlus、Sony、Soundcore、Xiaomiの脆弱なアクセサリーと、最大14メートルの距離から数秒で、ユーザー操作や物理的アクセスなしに強制的にペアリングし、WhisperPairの欠陥を悪用できます。
ペアリング後、攻撃者はオーディオデバイスを完全に制御できるようになり、大音量で音声を流したり、デバイスのマイクを通じてユーザーの会話を盗聴したりできます。
CVE-2025-36911はまた、アクセサリーがこれまでAndroidデバイスと一度もペアリングされたことがない場合、攻撃者がそのデバイスを自分のGoogleアカウントに追加することで、GoogleのFind Hubネットワークを使って被害者の位置情報を追跡できるようにします。
「被害者は数時間または数日後に望まない追跡通知を見る可能性がありますが、この通知には被害者自身のデバイスが表示されます」と彼らは付け加えました。「これにより、ユーザーが警告を不具合だとして無視してしまい、攻撃者が長期間にわたって被害者を追跡し続けられる可能性があります。」
Googleは研究者に最大額となる15,000ドルの報奨金を支払い、150日間の開示期間中にメーカーと協力してセキュリティパッチをリリースしました。しかし、この欠陥に対処するセキュリティ更新が、すべての脆弱なデバイスでまだ利用可能とは限らないと指摘しています。
脆弱なFast Pair対応Bluetoothアクセサリーの乗っ取りを防ぐ唯一の対策は、デバイスメーカーが提供するファームウェア更新をインストールすることです。AndroidスマートフォンでFast Pairを無効にしても、アクセサリー自体ではこの機能を無効化できないため、攻撃を防ぐことはできません。
