GoogleのFast PairプロトコルにおけるWhisperPairの欠陥を検出する「WPair Scanner」を公開

CVE-2025-36911（GoogleのFast Pair Bluetoothプロトコルにおける重大な認証バイパスの欠陥）の影響を受ける脆弱なデバイスを特定し、テストするために設計されたオープンソースのAndroidアプリケーション。

一般にWhisperPairと呼ばれるこの脆弱性は、世界中の数百万台のBluetoothオーディオデバイスに影響し、無許可のペアリングを可能にするとともに、ユーザーの同意なしにマイクへのアクセスを許してしまう可能性があります。

CVE-2025-36911は、Fast Pairのキー・ベースド・ペアリング（Key-Based Pairing）機構における重大な暗号学的弱点を示しています。

この脆弱性は、ペアリング要求に対する署名検証の欠如と、ユーザー確認要件の不在に起因しており、攻撃者が脆弱なデバイスに対して永続的なBluetooth接続を確立できてしまいます。

攻撃チェーンは、0xFE2CのFast PairサービスUUIDをブロードキャストしているデバイスをBLEスキャンで探索するところから始まり、キー・ベースド・ペアリングのバイパスへ進み、最終的にBluetooth Classicのボンディングに至って恒久的なオーディオプロファイルへのアクセスを提供します。

KU LeuvenのCOSICおよびDistriNetグループの研究者らは、体系的なプロトコル分析を通じてこの脆弱性を発見しました。

この欠陥により、攻撃者は永続的なAccount Keyを書き込めるようになり、GoogleのFind Hubのネットワークインフラを介して秘匿的なデバイス追跡が可能になります。

注目すべき点として、WPairの実装はストーカーウェアとしての悪用を防ぐため、FMDNのプロビジョニング機能を意図的に除外しており、責任ある情報開示の原則を示しています。

WPair Scannerの機能

このツールはセキュリティ研究者に対し、3つの動作モードを提供します。未パッチのデバイスに対する脆弱性スキャン、ペアリングを発生させずにパッチ適用状況を判定する非侵襲テスト、そして認可されたセキュリティ評価のための概念実証（PoC）エクスプロイトです。

エクスプロイト後、アプリケーションはハンズフリープロファイル（HFP）の音声アクセスを可能にし、リアルタイムのマイク聴取およびM4A形式での録音機能を提供します。

BLEスキャナーはペアリングモードのFast Pairデバイスを発見し、暗号ハンドシェイク分析によって脆弱な実装を検出します。これはZalexDevにより報告されています。

影響を受けるメーカーにはJBL、Harman Kardon、Sony（一部モデル）、Marshallが含まれ、さらに多くのベンダーが依然として脆弱な実装を展開しています。

スキャナーの主要機能

インストールにはBluetooth LE対応のAndroid 8.0以降が必要で、アプリケーションはGitHubのリリースから入手するか、ソースコードから直接コンパイルできます。

この脆弱性は、シームレスなBluetoothデバイスのペアリングのためにFast Pairに依存する、日々の数百万のユーザーを脅かします。

WhisperPairを悪用する攻撃者は、明示的な同意なしに被害者のヘッドホンへ永続的な接続を確立し、盗聴のためにマイクストリームへアクセスしたり、Account Keyの永続化を通じて位置追跡インフラを構築したりできます。

ペアリング時に近接が必要な従来のBluetoothエクスプロイトとは異なり、CVE-2025-36911は、すでに設定済みのデバイスをペアリング後に侵害できるようにします。

デバイスメーカーは、暗号署名検証と明示的なユーザー確認メカニズムを実装するファームウェア更新を通じて、緊急の是正対応が求められています。

ユーザーはベンダーのセキュリティアドバイザリを監視し、特に頻繁に使用するオーディオデバイスについては速やかにパッチを適用すべきです。

WPairツールキットは、防御的研究能力における大きな前進であり、異種混在のデバイスエコシステム全体にわたる体系的な脆弱性特定を可能にします。

コードベースに組み込まれた責任ある情報開示の原則として、FMDN追跡機能を明確に除外しており、脆弱性修正の検証に十分な技術的深度を維持しつつ、セキュリティ研究の倫理的境界を確立しています。