Google Fast Pairに深刻な脆弱性「WhisperPair」が発覚
セキュリティ研究者らは、GoogleのFast Pairプロトコルに深刻な脆弱性を発見しました。この脆弱性は「WhisperPair」と名付けられ、追跡コードCVE-2025-36911が割り当てられています。これにより、攻撃者はBluetoothオーディオアクセサリをハイジャックし、ユーザーの追跡や会話の盗聴が可能になる恐れがあります。
この欠陥は、GoogleのFast Pair機能をサポートする数億台ものワイヤレスヘッドホン、イヤホン、スピーカーに影響を及ぼします。脆弱性はアクセサリ自体に存在するため、スマートフォンのOSに関わらず、iPhoneユーザーも危険にさらされます。
脆弱性の詳細:不適切なFast Pairプロトコル実装
KU Leuvenのコンピュータセキュリティおよび産業暗号学グループの研究者らによると、この脆弱性は多くの主要オーディオアクセサリにおけるFast Pairプロトコルの不適切な実装に起因します。
Fast Pairの仕様では、Bluetoothデバイスはペアリングモードでない限りペアリング要求を無視すべきだとされていますが、多くのベンダーがこのチェックを製品に実装していなかったことが判明しました。これにより、許可されていないデバイスがユーザーの同意や知識なしにペアリングを開始できてしまいます。
攻撃手法と潜在的な被害
攻撃者は、Bluetooth対応デバイス(ラップトップ、Raspberry Pi、スマートフォンなど)を使用して、最長14メートル以内の脆弱なアクセサリと数秒以内に強制的にペアリングすることができます。この攻撃にユーザーの操作や物理的なアクセスは不要です。
ペアリングが完了すると、攻撃者はオーディオデバイスを完全に制御できるようになり、大音量でオーディオを再生したり、デバイスのマイクを通じてユーザーの会話を盗聴したりすることが可能になります。
Google Find Hubネットワークを利用した追跡の脅威
WhisperPairの脆弱性は、攻撃者がGoogleのFind Hubネットワークを利用して被害者の位置を追跡する可能性も示唆しています。アクセサリが過去にAndroidデバイスとペアリングされていなかった場合、攻撃者はそのデバイスを自身のGoogleアカウントに追加することで追跡が可能になります。
被害者は数時間後または数日後に「望まない追跡通知」を受け取る可能性がありますが、この通知には自身のデバイスが表示されるため、バグと誤解して警告を無視してしまう恐れがあり、攻撃者による長期的な追跡を許してしまうことになります。
対策と課題:ファームウェアアップデートが唯一の防御策
Googleは、この脆弱性を発見した研究者に最大報奨金である15,000ドルを授与し、メーカーと協力して150日間の情報開示期間中にセキュリティパッチをリリースしました。しかし、全ての脆弱なデバイスにアップデートが提供されているわけではない点に注意が必要です。
現時点での唯一の防御策は、デバイスメーカーからのファームウェアアップデートをインストールすることです。AndroidスマートフォンでFast Pairを無効にしても、アクセサリ自体でこの機能を無効にできないため、攻撃を防ぐことはできません。
影響を受ける主なブランド
この脆弱性の影響を受けるデバイスを製造している主なブランドには、以下の企業が含まれます:
- Jabra
- JBL
- Logitech
- Marshall
- Nothing
- OnePlus
- Sony
- Soundcore
- Xiaomi