Google の Fast Pair プロトコルに関連する新たなセキュリティ脆弱性となる「WhisperPair」が発見されました。
これはベルギーのルーヴェン・カトリック大学(KU Leuven)の研究者グループによるもので、この脆弱性は悪意のある第三者が近くにある Bluetooth 機器に対してユーザーの許可なくペアリングを行い、位置情報の追跡や盗聴を行える可能性があるというものです。
Pixel Buds Pro 2 を含む Google 製品だけでなく、Sony や Nothing、OnePlus などの主要メーカーのオーディオ機器にも影響を及ぼすことが確認されています。
ただし、現時点ではすでに対策済みのファームウェアが各メーカーから提供されています。
脆弱性の仕組みとリスク
通常、Bluetooth 機器をスマートフォンなどと接続する場合、イヤホンやヘッドホン側をペアリングモードにする物理的な操作が必要です。
Fast Pair はこの手順を簡略化するものですが、今回の脆弱性はこのプロセスにおける確認不足を突いたものです。
研究チームによると、脆弱性を抱えたデバイスはペアリングモードではない状態であっても、外部からのペアリング要求を受け入れてしまう欠陥があるとしています。
これにより、攻撃者は物理的にデバイスに触れることなく、Bluetooth の電波が届く範囲内であれば数秒で接続を確立できてしまいます。
想定されるリスクとしては、Google の「Find Hub (デバイスを探す)」に勝手に追加されて位置情報が追跡されることや、マイクを通じた音声の盗聴、再生中の音声への割り込み操作などが挙げられます。
この脆弱性はアクセサリ側の問題であるため、Android ユーザーだけでなく iPhone で対象のヘッドホンを使用している場合も影響を受けます。
影響を受けるデバイス
研究チームが公開したリストおよび報道によると、以下の製品を含む多くの Fast Pair 対応デバイスで脆弱性が確認されています。
- Google : Pixel Buds Pro 2
- Sony : WH-1000XM6、XM5、XM4 シリーズ、および対応するイヤホン製品
- Nothing : Ear (a)
- OnePlus : Nord Buds 3 Pro
- Soundcore : Liberty 4 NC
- Jabra : Elite 8 Active
なお、現時点ではこの脆弱性が研究室外で悪用された証拠は確認されていません。
まとめ
Google はこの脆弱性を 2025 年 8 月の時点で認識し、修正に取り組んでいるため、すでに多くのメーカーから対策済みのパッチがリリースされています。
デバイスのファームウェアを最新の状態に更新することで対処できるため、各メーカーのコンパニオンアプリからソフトウェアアップデートを確認することをおすすめします。
