索尼等品牌的无线耳机存在安全隐患，无声劫持风险警告

知名品牌如索尼、小米和JBL的无线耳机存在安全隐患，可能会被无声劫持，攻击者可在短短15秒内利用漏洞控制耳机，监听用户对话或传输恶意内容，消费者应警惕此安全问题，及时更新软件并遵循使用指导，以确保个人信息安全。

1月16日消息，科技媒体AndroidHeadline今天（1月16日）发布博文，报道称来自荷语鲁汶大学（KULeuven）的研究团队披露WhisperPair高危漏洞，直接影响支持谷歌FastPair（快速配对）协议的音频设备。FastPair主要目的是简化蓝牙连接流程，让手机能迅速发现附近的音频设备。而该漏洞根源，在于部分制造商对实施谷歌FastPair协议时存在疏忽。根据FastPair协议规范，设备在已连接状态下本应拒绝新的配对请求，但该团队测试来自10个品牌的17款设备未能执行此安全逻辑。攻击者可以通过获取特定型号的ID（ModelID），伪装成合法请求强制介入。攻击者实施入侵的门槛极低，仅需一台廉价的树莓派设备并处于目标蓝牙范围内（测试显示约14米，实际可能更远），无需任何身份验证，即可在15秒内通过无线方式劫持目标设备。
附上演示视频如下：一旦攻击者利用该漏洞成功连接，后果将不堪设想。除了能控制声音输出外，攻击者还能激活耳机的内置麦克风进行隐蔽窃听。值得警惕的是，该漏洞还衍生出一种高危的地理位置追踪手段，且iPhone用户更易中招。如果用户的蓝牙耳机（如索尼或谷歌产品）仅连接过iPhone而未绑定谷歌账号，黑客便能通过漏洞将该设备强制绑定至自己的谷歌账号下。随后，黑客利用谷歌的“FindHub”设备定位网络，即可实时监控受害者的行踪。虽然系统可能会发送“未知追踪器”警报，但用户往往会误以为是误报而忽略，从而陷入持续被监视的风险中。
此次漏洞影响范围广泛，涵盖索尼（Sony）、JBL、声阔（Soundcore）及谷歌自家产品等任何兼容FastPair的设备，连线（Wired）表示全球数亿台音频设备需要打补丁。幸运的是，研究团队早在去年8月便将该发现通报给了谷歌。谷歌随后与各大硬件制造商展开合作，针对性地开发了修复方案。谷歌向连线表示：目前没有证据表明，在实验室外，有黑客利用该漏洞发起攻击。小米、JBL和罗技等品牌表示正在或已经通过其官方App推送固件更新（OTA）。然而，研究人员警告称，由于大多数用户缺乏定期更新耳机固件的习惯，甚至不知道需要下载厂商App来打补丁，这些漏洞可能会在未来数月甚至数年内持续存在。参考