1月21日消息，比利时荷语鲁汶大学的网络安全研究人员披露了一个名为 WhisperPair 的重大漏洞，它影响了全球数亿台蓝牙音频设备。

研究显示，谷歌的快速配对技术存在一系列严重缺陷。攻击者只要在蓝牙有效范围内，就能在短短十秒内悄无声息地控制已配对的耳机、耳塞和扬声器。

据确认，该漏洞至少波及10家主要制造商的17款热门音频配件，其中包括：索尼全系WH-1000X旗舰耳机、WF-1000XM5 耳机、谷歌 Pixel Buds Pro 2、Nothing Ear (a)、一加 Nord Buds 3 Pro、Jabra Elite 8 Active，以及来自JBL、Marshall、Soundcore、罗技和小米的多款产品。

一旦攻击者利用 WhisperPair 漏洞，他们就能完全掌控音频设备，例如中断音频流或播放任意指定的声音。更严重的是，该漏洞还允许攻击者进行位置跟踪并启用麦克风监听，这意味着他们可以窃听用户的对话，甚至追踪使用者的实时位置。具体攻击方式包括：

音频注入：通过耳机或扬声器，以任意音量播放攻击者指定的音频内容。

麦克风访问权限：激活设备内置麦克风，用于窃听对话和周围环境声音。

通话中断：拦截或干扰正在进行的电话通话。

位置追踪：对于谷歌 Pixel Buds Pro 2 和五款索尼耳机，攻击者可以通过谷歌的“查找中心”功能获得设备的完整控制权，并持续追踪你的地理位置。

据悉，谷歌已经确认了这一漏洞并通知了相关合作伙伴，但修复补丁仍需各品牌自行发布更新。

尽管谷歌已对自家产品进行了更新，但研究人员指出，当前的修复措施存在被绕过的可能，并且许多用户可能因未安装配套应用程序而无法及时获得更新。

研究人员建议用户及时更新所有支持快速配对设备的固件。目前，用户尚无法自行禁用此功能以规避风险。