イヤホン・ヘッドホンを利用するほとんどの人は、スマートフォンと連携させて使用することが多いでしょう。スマホとイヤホンはBluetoothで接続するのが主流で、昨今はよりすばやくペアリングするためにGoogleが開発したファスト ペアリング技術に対応した端末が多くあります。が、この技術を搭載した多くのイヤホン・ヘッドホンで脆弱性が指摘されています。

位置情報も危ない！

脆弱性を発見、注意喚起しているのが、ベルギーのルーヴェン・カトリック大学の研究チーム。チームはこの脆弱性を「Whisper Pair」と命名。これを突くことで、ヘッドホン・イヤホンのフルコントロール、搭載されたマイクを通じてユーザーの会話、GoogleのFind Hubネットワークを介して位置情報がハッキングされる可能性があるといいます。

ハッカー側が、これを実行するにはターゲットの半径14m以内に近づく必要あり。ただし、近づきさえすれば、一瞬でアタックが可能とのこと。

また、GoogleのFind Hubネットワークを使う＝Androidユーザーのみという考えは危険。研究チームいわく、ハッキングターゲットユーザーが非Androidユーザーだったとしても、ハッカーのGoogleアカウントを介してFind Hubネットワークから位置情報のトラッキングは可能（トラッキングされていますの通知もハッカーの端末に届くため、ターゲットが認識できる可能性は低い）。

ファームウェアアプデをチェック！

脆弱性が指摘されるのはファスト ペアリング技術そのものではなく、その対応の仕方。理想としては、端末がペアリングモードにない時は、ぺアリング申請を受け付けない状態にあるべき。しかし、多くのヘッドホン・イヤホンでここのチェックが甘く、認証されていない端末からのペアリングリクエストも受信、処理してしまう場合があると研究チームは指摘しています。

脆弱性対象端末は、Sony、JBL、Xiaomi、Nothing、OnePlus、Jabra、Googleと多岐メーカーにわたります。特にSonyとGoogle端末が位置情報のリスクが高いとのこと。

Whisper Pair脆弱性が指摘される対象ヘッドホン・イヤホンは、専用サイトから確認可能。

現時点で、GoogleはPixel BudsにはFind Hub対応パッチ配布を実施。米Gizmodo編集部がGoogleに取材したところ、脆弱性指摘を受け、適切に対応。かつ関連する情報被害はあがっていないとのことです。また、ユーザーができる最たるセキュリティ対策は、ファームウェアアップデートに気を配り、常に最新版にアップデートすることだと呼びかけています。

Whisper Pair脆弱性対象端末のユーザーは、メーカーからの情報、ソフトウェア配布に注視しましょう。

Source: Whisper Pair