GoogleのFast Pair技術はBluetooth接続を革新し、対応アクセサリ間でのシームレスなワンタップ・ペアリングと、数百万人のユーザー向けのアカウント同期を実現してきました。
しかし、フラッグシップ級のオーディオアクセサリで発見された重大な脆弱性 が、数億台のデバイスのセキュリティを脅かしています。
| 属性 | 詳細 |
| 脆弱性名 | WhisperPair – ユーザーの同意なしの不正なデバイス・ペアリング |
| CVE識別子 | CVE-2025-36911 |
| 深刻度 | 重大 |
| CVSS v3.1 スコア | 9.8 |
研究者らはWhisperPairを公開しました。これはFast Pairの実装上の欠陥を悪用し、ユーザーの認識や同意なしにワイヤレスヘッドホン、イヤホン、スピーカーを乗っ取る実用的な攻撃手法の一群です。
WhisperPairにより、攻撃者は脆弱なFast Pair対応アクセサリを、最短10秒で攻撃者が制御するデバイスに強制的にペアリングでき、有効範囲は14メートルを超えます。
この攻撃は標的デバイスへの物理的アクセスを必要とせず、ユーザーに気付かれないまま静かに動作します。
いったん侵害されると、攻撃者はアクセサリを完全に制御でき、危険な音量で音声を再生したり、内蔵マイクで会話を録音したり、監視を実行したりできます。
この脆弱性は、Fast Pair仕様における重大な実装不備に起因します。プロトコル設計上、アクセサリはペアリングモードでない場合、ペアリング要求を無視すべきです。
しかし、多くのメーカーがこの必須のセキュリティチェックを適用できておらず、未承認のデバイスがペアリング処理を開始できてしまいます。
攻撃者はこの見落としを悪用し、脆弱なデバイスに初期のFast Pairメッセージを送信して応答を受け取り、正当な所有者の介入なしに標準的なBluetoothペアリング手順を完了させます。
この攻撃はデバイスの乗っ取りにとどまりません。一部のアクセサリは、紛失したデバイスを見つけるために設計されたクラウドソース型の位置追跡システムであるGoogleのFind Hubネットワークをサポートしています。
研究者らは、攻撃者が悪意のあるGoogleアカウントを用いて侵害したアクセサリを登録できることを発見しました。これにより、Androidスマートフォンと一度もペアリングしたことのないデバイスに対しても、実質的に追跡機能を追加できます。
被害者には遅れて通知が届き、場合によっては数時間後や数日後に、自分のデバイス上に表示されます。その結果、ユーザーは警告をソフトウェアの不具合として見過ごしやすく、無期限に追跡され続ける可能性があります。
この悪用が成立するのは、Androidデバイスがペアリング完了後にのみ、アクセサリへAccount Keyを書き込むためです。
最初に書き込まれたキーがOwner Account Keyとなり、デバイスの所有権を確立します。被害者がアクセサリをAndroidデバイスに一度も接続したことがない場合、攻撃者が自分のアカウントキーを書き込むことで所有者としてマークされ、永続的な追跡アクセスを得ます。
WhisperPair の影響範囲は、複数レベルでの破綻を示しています。研究者らは、同一の実装不備によって影響を受ける複数のデバイス、ベンダー、チップセットを記録しました。
重大なのは、脆弱なデバイスがメーカーの品質保証テストとGoogleの公式認証プロセスの双方を通過していた点で、個別の開発者ミスではなく、体系的な準拠不備を示唆しています。
実装、検証、認証にまたがるこの失敗の連鎖は、セキュリティ・ガバナンスに重大な欠陥があることを示しています。
Googleはこの脆弱性を重大と分類し、CVE-2025-36911を割り当てました。研究者らは、2025年8月に開始された150日間の責任ある開示期間を経て、メーカーにパッチ開発の時間が与えられた後、最大額である15,000ドルの報奨金を受け取りました。
恒久的な修正には、アクセサリメーカーによるソフトウェア更新が必要です。多くのベンダーは影響を受けるデバイス向けにパッチを公開していますが、すべてのユーザーが利用可能な更新にアクセスできるわけではありません。
セキュリティ研究者 および消費者は、パッチの提供状況をメーカーに直接確認すべきです。更新が展開されるまで、ユーザーはアクセサリを使用していないときはBluetoothを無効にし、不正なペアリング通知がないか監視してください。
翻訳元: https://gbhackers.com/whisperpair-vulnerability-pair-devices/
