セキュリティ研究者は、GoogleのFast Pairプロトコルにおける重大な脆弱性を発見しました。これにより攻撃者はBluetoothオーディオアクセサリを乗っ取り、ユーザーを追跡し、会話を盗聴できる可能性があります。
この欠陥(CVE-2025-36911として追跡され、WhisperPairと命名)は、GoogleのFast Pair機能に対応する複数メーカーのワイヤレスヘッドホン、イヤホン、スピーカーなど、数億台規模の製品に影響します。欠陥はスマートフォン側ではなくアクセサリ自体にあるため、スマートフォンのOSに関係なく影響を受け、脆弱なBluetooth機器を使用しているiPhoneユーザーも同様にリスクにさらされます。
これを発見したKU LeuvenのComputer Security and Industrial Cryptographyグループの研究者は、この脆弱性は多くのフラッグシップ級オーディオアクセサリにおけるFast Pairプロトコルの不適切な実装に起因すると説明しています。
Fast Pairの仕様では、Bluetoothデバイスはペアリングモードでないときにペアリング要求を無視すべきだとされていますが、多くのベンダーが製品でこのチェックを強制しておらず、ユーザーの同意や認識なしに未承認のデバイスがペアリングを開始できてしまいます。
「Fast Pair手順を開始するには、Seeker(スマートフォン)がProvider(アクセサリ)に対し、ペアリングしたい旨を示すメッセージを送信します。Fast Pair仕様では、アクセサリがペアリングモードでない場合、そのようなメッセージを無視すべきだとされています」と、研究者らは述べています。
「しかし実際には、多くのデバイスがこのチェックを強制できておらず、未承認のデバイスがペアリングプロセスを開始できてしまいます。脆弱なデバイスから応答を受け取った後、攻撃者は通常のBluetoothペアリングを確立することでFast Pair手順を完了できます。」
攻撃者は、Bluetooth対応デバイス(ノートPC、Raspberry Pi、あるいはスマートフォンなど)を使ってWhisperPairの欠陥を悪用し、Google、Jabra、JBL、Logitech、Marshall、Nothing、OnePlus、Sony、Soundcore、Xiaomiの脆弱なアクセサリに対し、最大14メートルの距離から、数秒で、ユーザー操作や物理的アクセスなしに強制的にペアリングできます。
ペアリング後、攻撃者はオーディオ機器を完全に制御できるようになり、大音量で音声を流したり、機器のマイクを通じてユーザーの会話を盗聴したりできます。
CVE-2025-36911はまた、アクセサリがこれまでAndroid端末とペアリングされたことがない場合、攻撃者がそのデバイスを自分のGoogleアカウントに追加することで、GoogleのFind Hubネットワークを用いて被害者の位置を追跡できることも可能にします。
「被害者は数時間または数日後に望まない追跡通知を見る可能性がありますが、この通知には被害者自身のデバイスが表示されます」と彼らは付け加えました。「その結果、ユーザーが警告をバグだとして無視してしまい、攻撃者が長期間にわたって被害者を追跡し続けられる可能性があります。」
Googleは研究者に対し、可能な最大額である1万5,000ドルの報奨金を支払い、150日間の開示期間中にメーカーと協力してセキュリティパッチをリリースしました。しかし、この欠陥に対処するセキュリティ更新が、すべての脆弱なデバイスでまだ利用可能とは限らないとも指摘しています。
脆弱なFast Pair対応Bluetoothアクセサリを攻撃者に乗っ取られないための唯一の防御策は、デバイスメーカーが提供するファームウェア更新をインストールすることです。AndroidスマートフォンでFast Pairを無効にしても、アクセサリ自体ではこの機能を無効化できないため、攻撃を防ぐことはできません。
