谷歌快速配对系统安全漏洞 - 一项新的学术研究揭示了谷歌快速配对系统存在可被利用的弱点 允许他人通过某些音频设备接管设备 此问题甚至可能影响从未拥有谷歌产品、仅使用iPhone的用户[1] - 谷歌快速配对是一种便捷的蓝牙配对技术 只需将手机轻触耳机、耳塞或其他配件即可与安卓和ChromeOS设备配对 然而 比利时大学的研究人员在多个品牌的音频产品中发现了一系列漏洞[4] - 研究显示 恶意行为者可以让蓝牙范围内的任何人配对音频外设并“劫持它们” 这可能意味着他人可以通过用户的耳机播放自己的音频 甚至控制音量 或控制内置麦克风进行窃听[6] 受影响品牌与产品范围 - 测试涉及10个不同品牌的音频配件 包括索尼、JBL、Marshall、Nothing、一加、小米、Jabra、Soundcore、罗技和谷歌[5] - 研究发现 五款索尼耳塞和耳机型号 以及谷歌的Pixel Buds Pro 2耳塞存在漏洞 即使用户设备从未关联谷歌账户 例如耳塞仅与iPhone配对 此漏洞也可能导致用户行踪被追踪[8] - 索尼和谷歌这两个品牌的某些产品还存在另一个弱点 这些产品与谷歌设备地理位置跟踪功能“查找中心”兼容 报告称 此漏洞“也可能被利用以实现隐蔽的高分辨率跟踪”[7] 漏洞影响与潜在风险 - 谷歌快速配对可能使他人“以同样无缝的便利性与数亿个耳塞、耳机和扬声器连接……即使受害者是iPhone用户且从未拥有过谷歌产品”[5] - 目前没有证据表明该漏洞在现实中被利用 许多音频设备现已通过软件更新尝试缓解该问题[3] - 研究警告 正如用户更新iPhone或Pixel手机一样 也应定期检查索尼、Nothing或其他品牌应用的更新[5]