GoogleのFast Pairプロトコルに関連する複数の機器において、セキュリティ上の脆弱性が発見されたと発表しました。この脆弱性により、攻撃者がユーザーを追跡する可能性があるということです。
ベルギーのKUルーヴェン大学の研究者が、WhisperPairと呼ばれるFast Pairの脆弱性についての調査結果を発表しました。この問題は2025年8月にGoogleに報告され、重要な問題として150日間の開示期間が設けられたということです。現在、WhisperPairによる影響を受けるユーザーは少ないとされていますが、その仕組みについて知識を持つことが重要です。
WhisperPairを通じて、攻撃者はBluetooth対応デバイスを利用して、脆弱な機器にリモートでペアリングすることが可能です。この脆弱性は、アクセサリーがペアリングモードにあるかどうかを確認する重要なステップをスキップすることに起因しています。このチェックがソフトウェアに含まれていない場合、ハッカーはリモートでペアリングを開始できるということです。
多くのアクセサリーがペアリングプロセスの重要なステップを強制しないため、この問題が発生しています。Fast Pairプロセスを開始するために、Seeker(電話)がProvider(アクセサリー)にペアリングしたい旨のメッセージを送信します。Fast Pairの仕様では、アクセサリーがペアリングモードでない場合、そのメッセージを無視するべきとされていますが、多くのデバイスがこのチェックを実施していないということです。
すべてのFast Pair対応アクセサリーがこの方法でハイジャックされるわけではありませんが、脆弱なデバイスは攻撃者に多くの操作の余地を与える可能性があります。位置情報追跡や音声再生の妨害、電話の通話や周囲の音声録音などのリスクがあり、これらのリスクはAndroidだけでなくiOSにも及ぶということです。
WhisperPairの影響を受けるデバイスのリストには、SonyのWH-1000XM6ヘッドフォン(XM5、XM4、およびSonyのイヤーバッドも含む)、NothingのEar (a)、OnePlusのNord Buds 3 Pro、GoogleのPixel Buds Pro 2が含まれています。
WhisperPairの公式ウェブサイトやWiredの詳細な報告では、これらの問題についてさらに詳しく説明されています。研究者たちは、Fast Pair対応のガジェットを最新のパッチで更新することを推奨しており、ユーザーがこの機能を自分で無効にする方法はないとしています。