Fast Pair 漏洞曝光，小心你的蓝牙耳机变成追踪器

数亿台支持谷歌 Fast Pair 协议的蓝牙耳机，突然变成可能被人操控的远程追踪器。

比利时荷语鲁汶大学团队曝光的 WhisperPair 高危漏洞，把索尼、小米、JBL 这些大牌拉进了安全信任危机。从 15 秒劫持耳机，到数亿设备面临风险，这一事件并非简单的技术疏忽，而是物联网行业为了追求方便，过于轻视安全的一道缩影。

在高度数字化的世界，过去那种头痛医头、脚痛医脚的方式早已行不通了，需要拉起一道更坚固的物联网安全防线。

01

为了省事，安全防线被击穿

WhisperPair 漏洞爆发的核心问题是部分方案开发商在实际应用中，未能将谷歌 Fast Pair 协议的安全规范落实到位。

作为谷歌推出的低功耗蓝牙快速配对功能，Fast Pair 最大的好处是让连接更省事——耳机一靠近手机就能被识别，轻轻一点就能连上，不用输密码，还能帮手机省点电。得益于这份便捷，它成了海外大多数品牌蓝牙耳机的标配，很快覆盖了数亿台设备。

根据 Fast Pair 协议规定，耳机一旦和手机连上，就该拒绝其他所有新的配对请求，相当于形成一道“一对一”的安全屏障。然而，鲁汶大学的测试结果却让人揪心：10 个品牌的 17 款耳机，全都没遵守这项规则，给黑客留下可乘之机。

黑客只需借助一台不到 500 块的树莓派设备，在 14 米范围内，拿到耳机的型号 ID 并伪装成合法请求，15 秒内就能悄无声息地劫持耳机，整个过程用户毫无察觉，隐蔽性极强。

这个漏洞的危害比单纯的泄露信息更为严重。黑客连上耳机后，不光能随便控制声音播放，还能偷偷窃听。更让人担忧的是，如果你的耳机只连过 iPhone，没绑定谷歌账号，黑客还能强行把耳机绑到自己的谷歌账号上，再借助谷歌的 Find Hub 定位功能，实时跟踪你的位置，做到窃听和盯梢两不误。

这种低成本、高危害的攻击方式，很容易被不法分子利用。目前，还无法确定，这个漏洞有没有被人实际滥用过，风险却一直悬在头顶。

02

强化意识，防护提升降风险

Fast Pair 之所以能快速普及，关键在于免费开放给厂商使用，从而快速吸引大批品牌，坐稳了物联网连接领域的话语权。但协议落地后的安全问题，却被相关方不同程度地忽视了。

谷歌 Fast Pair 协议本身内置了基于公钥加密（ECC）的设备身份认证流程，协议要求配对时，耳机端需向手机端发送设备唯一标识符（UID）和数字证书，手机端验证证书有效性后，再发起配对请求。根据安全规范，方案设计方需要在固件中写入强制校验逻辑：只有证书验证通过的设备，才能进入配对流程。

Fast Pair 协议中定义了两个角色：Seeker 和 Provider。站在 Bluetooth LE的角度，Master 或 Central 通常是手机，作为 Seeker；Slave 或 Peripheral 通常是设备，作为 Provider。Provider 广播，Seeker 扫描。

图：Fast Pair 协议原理（来源：谷歌官方）

Seeker（如手机）扫描到支持 GFPS 的设备后，会弹框（half page notification）。用户确认连接后，建立 Bluetooth LE 连接。连接过程中交互信息，并建立 Google account 和设备之间的关联(设备将获得并存储 account key )。这个建立关联的过程，也就是实质意义上的谷歌 Fast Pair。

在设备工作时，Fast Pair 协议依赖蓝牙低功耗广播包传输设备信息，部分开发商为了提升配对速度，将 UID、设备型号等敏感信息以明文形式写入广播包，给攻击者提供了可乘之机。同时，为了简化固件逻辑、提升多设备切换的用户体验，一些方案开发商直接删除了“连接锁定” 的代码模块。

Fast Pair 协议为了防止恶意设备伪造配对请求，内置了基于 ECC 公钥加密的双向身份认证流程，协议要求标准流程为：首先，耳机端广播加密后的设备唯一标识符（UID）和厂商数字证书；手机端接收广播后，先验证证书的合法性，再验证 UID 的唯一性；认证通过后，双方协商生成临时会话密钥，再建立连接。

然而，在实际落地过程中，多数厂商直接跳过了证书校验步骤，耳机广播的 UID 和设备信息以明文形式传输，黑客通过扫描便能轻松获取，进而伪造出 “合法” 的配对请求 。

部分方案开发商认为证书生成、存储和校验需要额外的硬件支持（如安全芯片），会增加耳机的成本和开发难度；同时，证书校验会延长配对时间，影响用户体验。尽管这在一定程度上是事实，但这个问题也并非无法解决，采用从设计阶段就考虑全生命周期安全的Soc产品就可以解决这个问题，通常来说，安全Soc会具备更完善的安全机制、独立的加密模块和更全面的算法支持，它能够提供硬件级的防护，全方位地保障数据安全。

普通蓝牙芯片的安全防护多为软件层面的简易设计，加密运算依赖主芯片，还会占用产品核心功能的算力，有可能导致卡顿。而安全蓝牙 SoC 拥有独立的加密引擎，并不占用主芯片算力，从而避免了对产品核心功能的干扰。

WhisperPair 漏洞导致耳机麦克风面临被劫持窃听、设备被用于位置追踪的风险，而使用安全蓝牙 SoC 能将密钥等核心信息固化在硬件存储区，且支持 RSA、AES、SM2、SM3 和 SM4 多种加密算法，大幅降低了数据泄露的风险。

珈港科技致力于物联网安全技术迭代，推出了 JC511、JC521、JC571 等系列连接安全 Soc 产品。作为 Find My & Find Hub 生态的重要参与者，珈港科技基于 安全蓝牙 Soc 产品为 OEM 和品牌客户提供全生命周期安全的 Find My & Find Hub 解决方案，覆盖从方案设计、预测试到量产上市的每一个重要节点，全方位赋能品牌厂商，快速构建 Find My & Find Hub 产品。

以 JC511 安全蓝牙 Soc 为例，珈港科技 JC511 安全蓝牙 Soc 率先获得 Apple 和 Google 的双重认证，配置了 32-bit 安全处理器，最高主频 96MHz，提供 64KB SRAM，可选 256KB/512KB Flash，具备独立高安全模块，支持多种安全算法。JC511 安全蓝牙 Soc 凭借在低功耗与安全性能上的突出优势，为 Find My & Find Hub 设备提供强劲续航和全生命周期安全保障，无论是防丢器、智能穿戴设备还是各类智能家居产品，JC511 安全蓝牙 Soc 都能无缝适配，助力用户轻松享受 Find My & Find Hub 带来的智能寻物体验。

关于珈港

珈港科技是科创板首批上市、国际领先的红外芯片企业睿创微纳旗下的安全芯片专业子公司，是国密SM2算法的第一发明人单位。

珈港科技总部位于山东烟台，在武汉、北京和深圳设有全资子公司。 依托国际一流水平的片上资产保护、密码算法和安全认证技术，珈港科技自主研发了一系列的安全MCU、安全SoC、物联网操作系统及云中间件等产品，为国内外客户提供先进的智能家居、工业控制和物联网解决方案。