数百万耳机可被远程接管

导语：Sony WH-1000X系列一直是蓝牙耳机界的标杆产品，但安全研究揭开了一个令人不安的真相：包括WH-1000XM4、WH-1000XM5、WH-1000XM6在内的多款主流耳机，被发现存在严重的蓝牙协议实现漏洞。攻击者只需要在15秒内靠近你，就能无声无息地接管你的耳机——然后监控你的通话、追踪你的位置。这一切都发生在你完全不知情的情况下。

---

一、漏洞概述

这项研究由比利时KU Leuven大学的安全研究人员发现，并将攻击命名为”WhisperPair“。漏洞根因在于Google Fast Pair蓝牙配对协议的实现缺陷——而非蓝牙协议本身。

Fast Pair是Google建立在蓝牙之上的一套快速配对框架，旨在消除传统蓝牙配对的繁琐流程。用户打开耳机，附近的Android手机自动弹出配对窗口，体验极为流畅。然而，Google将安全实现的职责”委托”给了各设备厂商，而许多厂商在实现时留下了致命漏洞。

核心问题在于：按照Google的规范，已连接某一设备的Fast Pair耳机不应接受新的配对请求。但研究人员在测试的25款设备中，发现17款违反了这一基本要求——它们在已有连接的情况下，仍然接受来自第二台设备的配对请求，没有任何用户通知，没有任何配对弹窗。

这意味着攻击者在蓝牙信号范围内，可以悄无声息地”劫持”他人的耳机。

---

二、攻击效果

一旦攻击者成功利用WhisperPair漏洞，他们可以：

音频注入：通过被劫持的耳机或音箱播放任意音频内容，在任意音量下——想象一下，有人远程在你的耳机里播放任何声音来操控你的情绪或行为。

麦克风窃听：部分配备内建麦克风的耳机和耳塞，攻击者可以激活麦克风，窃听对话和周围环境声音。

通话劫持：拦截或干扰手机通话。

位置追踪（更严重）：对于Google Pixel Buds Pro 2和部分Sony型号，攻击者可以通过Google的”Find Hub”功能将设备的所有权注册到自己账户，从而持续追踪你的物理位置。

关于位置追踪的特别警告：如果你的Sony耳机或Pixel Buds从未绑定过Google/Sony账户，攻击者甚至可以先将自己的账户注册为设备所有者。等你拿到设备后，你会收到来自Apple或Google的追踪警告——但提示内容是”你的设备正在被追踪”，而不是”有陌生人绑定了你的设备”，你很可能会把它当作系统bug而忽略。

---

三、攻击条件

攻击的实现门槛低得令人意外：

• 目标设备在蓝牙范围内（研究测试的最远距离：约46英尺/14米）
• 攻击者持有目标设备的Model ID（可以通过购买同型号设备、拦截配对过程、或查询Google公开API获得）
• 一台低成本设备，如Raspberry Pi 4

没有警告弹窗，没有配对请求，没有任何方式让用户感知到入侵正在发生。整个攻击过程在10-15秒内完成。

---

四、受影响设备

以下为研究已确认受影响的部分主流型号：

Sony系列：

• WH-1000XM6
• WH-1000XM5
• WH-1000XM4
• WH-CH720N
• WF-1000XM5

Google：

• Pixel Buds Pro 2

其他品牌：

• Nothing Ear (a)
• OnePlus Nord Buds 3 Pro
• Jabra Elite 8 Active
• JBL TUNE BEAM
• Marshall MOTIF II A.N.C
• Soundcore Liberty 4 NC
• Redmi Buds 5 Pro
• Logitech Wonderboom 4

值得注意的是，以下设备测试为不受影响：Bose QuietComfort Ultra Headphones、Sonos Ace、Audio-Technica ATH-M20xBT、Beats Solo Buds。

研究人员强调，绝大多数Fast Pair设备尚未经过测试。没出现在列表上不代表安全。

---

五、为何这些设备通过了Google认证

讽刺的是，所有这些受影响的设备都经过了Google Fast Pair认证程序的验证，并通过 Google 认可的实验室测试。

这暴露了认证体系的一个根本性问题：Google的Fast Pair Validator App和实验室测试只验证了基本功能性，从未深入检验厂商对安全规范的实现细节。这导致了大量”通过了认证但存在严重漏洞”的产品流入市场。

---

六、修复状态与用户应对

Google已发布安全公告，承认研究发现，并与受影响厂商合作开发修复补丁。但关键问题在于：

固件更新的用户体验远不如手机安全更新。手机安全更新通常自动推送、自动安装，而耳机固件更新需要：

1. 用户下载厂商配套App（Sony Headphones Connect、Jabra Sound+等）
2. 手动检查更新
3. 在更新过程中保持耳机与App连接

这个流程对普通用户来说繁琐且容易被忽略——而在研究人员发现这一漏洞后数月，实际安装修复补丁的用户比例可能微乎其微。

无法禁用Fast Pair。用户无法在受影响设备上关闭Fast Pair功能来规避风险。

恢复出厂设置只能清除当前攻击者的访问权限，但漏洞本身仍然存在——设备会被再次劫持。

---

七、总结

WhisperPair漏洞折射出一个核心矛盾：消费电子厂商在激烈竞争中将配对体验的便利性推向了极致，却将安全性当作了事后的补丁项，而非设计层面的优先考量。

对于用户而言，短期内最重要的行动是：立即检查你的耳机是否有可用固件更新，打开配套App手动检查，别等通知。

从长远看，Google需要重新审视Fast Pair协议的认证体系，在设备出货前的实验室测试中加入实际安全验证环节，而非仅依赖厂商自我声明。当”便利优先”的逻辑渗透到安全敏感的消费IoT设备领域时，每一个用户都成了那个潜在的风险承担者。