最近有一个和蓝牙耳机相关的漏洞,周末有时间仔细看了一下比想象的还严重点

https://whisperpair.eu/

https://www.youtube.com/watch?v=-j45ShJINtc

简单来说就是很多厂家都耳机支持 Google Fast Pair 但是实现有问题在没有进入配对模式的时候也能接受配对许可,攻击者就可以强制配对你的耳机用最大音量给你放 Never Gonna Give You Up 或者激活你的麦克风听你在说什么,甚至如果你没有把设备绑定到你的 Google 账户攻击者还可以把设备绑到他自己的账号然后把你的耳机当 AirTag 追踪你的位置

修复方法就是得等厂家发修复的固件然后去更新,这是一部分受影响的设备,并不完全,还是看看自己的耳机支部支持 Google Fast Pair 看看厂家有没有新固件吧,这个问题还挺严重的

https://whisperpair.eu/vulnerable-devices

一些额外的报道

https://www.youtube.com/watch?v=Ux07J-wS2VA
https://www.securityweek.com/whisperpair-attack-leaves-millions-of-bluetooth-accessories-open-to-hijacking/
https://www.bleepingcomputer.com/news/security/critical-whisperpair-flaw-lets-hackers-track-eavesdrop-via-bluetooth-audio-devices/
 
 
Back to Top