无线耳机安全存隐患:索尼小米JBL品牌或遭无声劫持
1月16日消息,科技媒体Android Headline发布报告称,来自荷语鲁汶大学的研究团队近日披露了一个名为WhisperPair的高危安全漏洞,该漏洞直接影响所有支持谷歌Fast Pair快速配对协议的音频设备。
Fast Pair协议的核心设计旨在简化蓝牙连接流程,让手机能够快速发现并连接附近的音频设备。而此次漏洞的根源,部分制造商在实现谷歌Fast Pair协议时存在安全疏忽。
根据Fast Pair协议规范,设备在已连接状态下本应拒绝任何新的配对请求。但该研究团队对来自10个品牌的17款设备进行测试后发现,这些设备均未能执行此项安全逻辑。攻击者可以获取特定型号的设备ID,以此伪装成合法请求并强制介入连接。
攻击者实施入侵的门槛极低。仅需一台廉价的树莓派设备并处于目标蓝牙信号范围内(测试显示约14米,实际可能更远),无需任何身份验证,就可在15秒内通过无线方式劫持目标设备。
一旦攻击者利用该漏洞成功建立连接,其后果不堪设想。除了能完全控制音频输出外,攻击者还能激活耳机内置的麦克风进行隐蔽窃听。
值得注意的是,该漏洞还衍生出一种高风险的设备地理位置追踪手段,且iPhone用户更易中招。如果用户的蓝牙耳机(如索尼或谷歌产品)仅连接过iPhone而未绑定谷歌账户,黑客便可通过漏洞将该设备强制绑定至自己的谷歌账户旗下。
随后,黑客利用谷歌的“Find Hub”设备定位网络,即可实时监控受害者的行踪轨迹。尽管系统可能会发送“未知跟踪器”警报,但用户往往会误以为是误报而忽略,从而陷入被持续监视的风险之中。
此次漏洞影响范围广泛,几乎覆盖所有兼容Fast Pair协议的设备,包括索尼、JBL、声阔及谷歌自家产品等。外媒表示,全球数亿台音频设备亟需打好这一安全补丁。
幸运的是,研究团队早在去年8月便将此发现通报给了谷歌。谷歌随后与各大硬件制造商展开合作,针对性地开发了修复方案。谷歌对外表示,目前没有证据表明在真实世界中,已有黑客利用该漏洞发起攻击。
小米、JBL和罗技等品牌表示,正在或已经通过其最新版App推送固件更新。然而,研究人员警告称,由于大多数用户缺乏定期更新耳机固件的习惯,甚至不知道需要下载厂商App来修复漏洞,这些问题设备可能在未来数月甚至数年内持续面临风险。
参考
相关攻略
IT之家 3 月 28 日消息,谷歌研究院 3 月 25 日推出全新极端压缩算法 TurboQuant,有望重塑 AI 运行效率并解决大模型键值缓存(KV Cache)的内存瓶颈,据称可以使 AI
过去两个月,OpenClaw火得一塌糊涂。它让AI开始像一个真正能替人跑流程、调工具、接任务的数字执行者。现如今,谷歌也准备分一杯羹,外媒爆料称,谷歌正在开发一款叫做Smith的agent,不仅比O
谷歌近期推出TurboQuant压缩算法,称将大模型关键缓存占用减少至少6倍,这一消息一度让存储行业陷入恐慌。但在MemoryS 2026峰会上,来自三星电子、长江存储、铠侠、闪迪等多家存储厂商,以
如果你还在等iPhone18系列来个外观大改,可能要失望了,但如果你在意的是体验大改,那这次可能真的有惊喜。一方面,近期有消息称iPhone18系列的黑边、边框没有变化,只有灵动岛缩小;核心升级集中
喜欢折腾的用户都知道,谷歌当年在安卓12里把快捷设置面板的Wi-Fi开关改了,点一下不直接开关,而是弹出一个网络列表,你得再点一下开关才能关掉Wi-Fi。这个两步走的设计被骂了五年,而随着时间的推移
热门专题
热门推荐
美团外卖商家版正式登录入口为https: epassport meituan com account login,商家可通过手机号与密码登录,支持忘记密码找回、安全设置、多设备登
ulmart是一家知名的电商平台,为消费者提供了丰富多样的商品选择。要访问ulmart正式,只需在浏览器中输入其最新网址,即可轻松开启购物之旅。ulmart正式入口链接是连接用户与
3月29日消息,雷军今日发帖宣布,新一代SU7首周交付了四五千辆,并向网友询问,这个交付速度如何?客观而言,要说此前购买小米SU7的最大痛点是什么,那必然是供不应求导致的交付太慢。车主下订后显示提车
1 玩家想要查看电脑版迷你世界游戏的截图,首先找到电脑中安装QQ游戏的盘后并进行点击;2 找到游戏对应的盘然后再找到QQ游戏文件夹;3 接着需要找到MiniGames文件夹;4 然
迅雷网页版云盘入口:https: pan xunlei com ,迅雷网页版云盘入口是用户通过浏览器直接访问迅雷云存储服务的最新门户。该入口允许用户在不启动迅雷桌面客户端的情况下,登录个人账号并管