Millions of Audio Devices Need a Patch to Prevent Wireless Hacking and Tracking
4 months ago
- #IoT
- #Bluetooth
- #Cybersecurity
- 谷歌快速配对协议(专为简化蓝牙连接设计)存在漏洞,黑客可劫持音频设备
- 鲁汶大学研究人员在10家公司的17款音频配件中发现'WhisperPair'漏洞,涉及索尼、Jabra和谷歌等品牌
- 攻击者可接管音频流、麦克风,甚至通过支持谷歌Find Hub功能的设备追踪用户位置
- 谷歌已承认漏洞并发布补丁,但由于用户更新率低,多数设备仍处于风险中
- 攻击需在约15米范围内获取设备型号ID,该信息可通过公共谷歌API等多种方式取得
- 谷歌Pixel Buds Pro 2等设备允许黑客将其绑定至攻击者账户实现持续追踪
- 小米、JBL等厂商正在推送更新,但用户常因缺乏安全意识或需配套应用而未安装
- 漏洞源于快速配对协议的实施缺陷,设备制造商与芯片厂商均可能负有责任
- 研究者建议采用加密配对验证机制,强调需在便捷性之外兼顾安全性
- 专家敦促用户及时更新设备,警惕物联网安全隐患,多数漏洞因更新不及时长期存在