GoogleのFast Pair技術はBluetooth接続に革命をもたらし、対応アクセサリでのワンタップのシームレスなペアリングと、数百万人のユーザー向けのアカウント同期を可能にしました。
しかし、フラッグシップ級のオーディオアクセサリで発見された重大な脆弱性が、数億台のデバイスの安全性を脅かしています。
研究者らはWhisperPairを公開しました。これはFast Pairの実装上の欠陥を悪用し、ユーザーの認識や同意なしにワイヤレスヘッドホン、イヤホン、スピーカーを乗っ取る実用的な攻撃群です。
WhisperPairにより攻撃者は、脆弱なFast Pair対応アクセサリを攻撃者が制御するデバイスと最短10秒で強制的にペアリングでき、有効範囲は14メートルを超えます。
この攻撃は標的デバイスへの物理的アクセスを必要とせず、ユーザーの注意を喚起することなく静かに動作します。
侵害されると、攻撃者はアクセサリを完全に制御でき、危険な音量で音声を再生したり、内蔵マイクで会話を録音したり、監視を行ったりできます。
この脆弱性は、Fast Pair仕様における重大な実装不備に起因します。プロトコル設計上、アクセサリはペアリングモードでないときはペアリング要求を無視すべきです。
しかし、多くのメーカーがこの不可欠なセキュリティチェックを強制しておらず、未承認のデバイスがペアリング処理を開始できてしまいます。
攻撃者はこの見落としを悪用し、脆弱なデバイスに初期のFast Pairメッセージを送信して応答を受け取り、正規の所有者の介入なしに標準のBluetoothペアリング手順を完了します。
この攻撃はデバイスの乗っ取りにとどまりません。一部のアクセサリはGoogleのFind Hubネットワークに対応しており、これは紛失デバイスを見つけるために設計されたクラウドソース型の位置追跡システムです。
研究者らは、攻撃者が侵害したアクセサリを悪意のあるGoogleアカウントで登録できることを発見しました。これにより、Androidスマートフォンと一度もペアリングしたことのないデバイスに対しても、事実上追跡機能を追加できます。
被害者には遅れて通知が届き、場合によっては数時間後や数日後に、自身のデバイス上に表示されます。その結果、ユーザーは警告をソフトウェアの不具合として見過ごしやすく、追跡は無期限に継続される可能性があります。
この悪用が成立するのは、Androidデバイスがペアリング完了後にのみアカウントキーをアクセサリへ書き込むためです。最初に書き込まれたキーがオーナーアカウントキーとなり、デバイスの所有権を確立します。
被害者がアクセサリをAndroidデバイスに一度も接続したことがない場合、攻撃者が自分のアカウントキーを書き込むことで所有者として登録され、永続的な追跡アクセスを得ます。
WhisperPairの影響範囲は、複数レベルでの破綻を示しています。
研究者らは、同一の実装不備により影響を受ける複数のデバイス、ベンダー、チップセットを記録しました。
重大なのは、脆弱なデバイスがメーカーの品質保証テストとGoogleの公式認証プロセスの双方を通過していた点で、個別の開発者のミスではなく、体系的な準拠不全を示唆しています。
実装、検証、認証にまたがるこの失敗の連鎖は、セキュリティガバナンスに重大な欠陥があることを示しています。
Googleはこの脆弱性を重大(Critical)に分類し、CVE-2025-36911を割り当てました。研究者らは、2025年8月に開始された150日間の責任ある開示期間を経て、メーカーがパッチを開発する時間が確保された後、最大額の報奨金15,000ドルを受け取りました。
恒久的な修正には、アクセサリメーカーによるソフトウェアアップデートが必要です。多くのベンダーが影響を受けるデバイス向けに公開パッチを提供していますが、すべてのユーザーが利用可能な更新にアクセスできるわけではありません。セキュリティ研究者と消費者は、パッチの提供状況をメーカーに直接確認すべきです。
アップデートが展開されるまで、ユーザーはアクセサリを使用していないときはBluetoothを無効にし、未承認のペアリング通知がないか監視してください。
翻訳元: https://cyberpress.org/whisperpair-attack-hijacks-laptops-and-earbuds-via-forced-bluetooth-pairing/