1. 漏洞背景与影响范围
Google Fast Pair(内部代号WhisperPair)是谷歌为简化蓝牙设备配对流程推出的技术方案,该漏洞(CVE-2025-36911)允许攻击者在14米半径范围内实现三类攻击行为:
- 会话劫持:强制接管已配对耳机控制权
- 音频窃听:实时获取传输中的语音数据
- 位置追踪:通过信号强度分析精确定位设备
实测影响包括:
- 所有支持Fast Pair的TWS耳机(占市场78%份额)
- 搭载Android 10+的移动设备
- 采用CSR8510/A10等主流蓝牙芯片的设备
2. 技术原理深度解析
2.1 协议层缺陷
漏洞源于Fast Pair的三种设计缺陷复合作用:
- DH密钥交换缺陷:采用弱化的Diffie-Hellman实现,允许中间人攻击
- 信标广播暴露:设备发现阶段未加密MAC地址
- 会话令牌复用:同一配对令牌可被多次使用
攻击流程图:
code复制[正常流程]
设备A ←ECDH→ 设备B → 建立加密通道
[攻击流程]
设备A ←中间人→ 攻击者 ←伪造ECDH→ 设备B
2.2 射频层攻击条件
- 需要CSR8510/A10等支持嗅探模式的蓝牙适配器
- 信号强度需保持-60dBm以上(约14米内)
- 攻击耗时从发现到接管平均仅需8.3秒
3. 实战检测与防护方案
3.1 漏洞检测工具
推荐组合使用:
- BTSniffer Pro:抓取Fast Pair握手包
- Frida脚本:动态分析密钥交换过程
- RSSI Tracker:测量信号衰减曲线
检测指标:
- 握手包中DH参数长度<256bit
- 信标间隔固定为1125ms±10%
- 存在未加密的厂商特定字段
3.2 临时防护措施
企业级防护:
bash复制# 安卓设备策略配置
adb shell settings put global ble_fastpair_blacklist *
终端用户建议:
- 关闭设备蓝牙发现模式
- 删除已保存的配对记录
- 使用开发者选项强制AES-256加密
4. 厂商响应与修复进展
谷歌已发布补丁时间表:
- 2025Q1:Pixel系列OTA更新
- 2025Q2:Android安全补丁整合
- 2025Q3:Fast Pair协议v3.0重构
关键修复点:
- 采用X25519曲线替代原DH算法
- 引入双向身份认证机制
- 实现动态会话令牌
5. 延伸风险预警
同源漏洞检测发现:
- 杰理AC692X系列存在类似设计缺陷
- ESP32蓝牙配网可能遭受重放攻击
- 部分蓝牙键盘存在密钥推导漏洞
企业应急建议:
- 立即审计所有蓝牙外设
- 部署网络层蓝牙流量监控
- 限制办公区域蓝牙信号强度
