BluetoothオーディオアクセサリーにおけるGoogle Fast Pair実装の脆弱性が悪用され、攻撃者が制御するデバイスへの接続を強制できると、学術研究者らが警告している。
この重大度クリティカルの問題はCVE-2025-36911として追跡されており、鍵ベースのペアリングコードにおけるロジックエラーが原因で、デバイスがペアリングモード中かどうかを確認しないことに起因する。
Google Fast Pairは、イヤホン、ヘッドホン、スピーカーなどのBluetoothアクセサリーと、ワンタップで素早くペアリングし、アカウント同期も行えるようにする。
Fast Pairの仕様では、ペアリング手順はアクセサリーがペアリングモードにある場合にのみ実行されるべきだとしているが、多数のブランドのモデルがデバイスのペアリング状態を確認していない。
こうした不適切なFast Pair実装により、WhisperPairと呼ばれる一連の攻撃への道が開かれる。これにより攻撃者は脆弱なアクセサリーを制御できるようになると、ベルギーのKUルーヴェン大学のComputer Security and Industrial Cryptographyグループの学術研究者らは説明している。
研究者らは「WhisperPairにより、攻撃者はユーザーの同意なしに、脆弱なFast Pairアクセサリー(例:ワイヤレスヘッドホンやイヤホン)を攻撃者が制御するデバイス(例:ノートPC)と強制的にペアリングできる」と述べている。
このセキュリティ欠陥により、最大14メートル(約46フィート)の範囲内にいる攻撃者が数秒でペアリング処理を開始し、「通常のBluetoothペアリングを確立することでFast Pair手順を完了」できる。
学術研究者らは「これにより攻撃者はアクセサリーを完全に制御でき、大音量で音声を再生したり、マイクを使って会話を録音したりできる」と指摘している。
ユーザー追跡
研究者らによれば、WhisperPairは、デバイスがGoogleのFind Hubネットワークをサポートしており、かつこれまでAndroidデバイスと一度もペアリングされたことがない場合、ユーザー追跡にも利用できるという。
アクセサリーに接続すると、Androidデバイスは所有権を確立するために使用されるAccount Keyを書き込むと学術研究者らは説明する。したがって、被害者が自分のアクセサリーをAndroidデバイスに一度も接続したことがない場合、攻撃者が所有者として記録される。
攻撃者は脆弱なアクセサリーを標的にして自分のGoogleアカウントで追加し、そのデバイスを追跡することでユーザーを追跡できる。
研究者らは「被害者は数時間または数日後に望まない追跡通知を見る可能性があるが、この通知には被害者自身のデバイスが表示される。これによりユーザーが警告をバグとして却下してしまい、攻撃者が長期間にわたり被害者を追跡し続けられる恐れがある」と述べている。
脆弱なデバイスとパッチ
学術研究者らは、複数ベンダーのさまざまなデバイスモデルが影響を受けていると指摘している。これらは「メーカーの品質保証テストとGoogleの認証プロセス」を通過していたにもかかわらずだという。
研究者らは「安全でない実装が大規模に市場へ出回ってしまった。これはGoogle Fast Pairにおける一連のコンプライアンス不備を示しており、脆弱性が実装、検証、認証の3段階すべてで検出されなかった」と述べている。
Google、Jabra、JBL、Logitech、Marshall、Nothing、OnePlus、Sony、Soundcore、Xiaomiは、市場に脆弱な製品を抱えている。合計で数億台のデバイスが影響を受ける可能性がある。
研究者らはWhisperPairの実装を一般公開しなかったが、2025年8月にこのバグをGoogleへ通知した。研究者らはこの発見に対して1万5,000ドルのバグバウンティ報奨金を受け取った。
今週、Googleはこの脆弱性を解消するため、Pixelデバイス向けに新たなセキュリティアップデートを展開した。
しかし学術研究者らによれば、Androidスマートフォンを更新するだけでは不十分だという。ユーザーは、多くのメーカーがすでにアクセサリー向けにリリースしているファームウェアパッチもインストールする必要がある。
研究者らは「Google Fast Pairは無効化できないため、WhisperPair攻撃を防ぐ唯一の方法はソフトウェアアップデートを実施することだ。ソフトウェアアップデートのインストール方法については、アクセサリーのマニュアルを参照してほしい」と述べている。
