メーカーの実装するGoogle Fast Pairの使い方に脆弱性が発見され、勝手に対応デバイスをペアリングできることが判明した。
なので、勝手にペアリングすれば勝手に音楽流す、勝手に録音するとかをできちゃうらしい。
さらに、攻撃者がデバイスを勝手に自分のアカウントのFind Hubにしちゃえば、位置情報も勝手に追跡できるようだ。
皆さん、対応デバイスを早くアップデートしましょう。
問題はFast Pairの仕様ではなくメーカ側の不適切な実装
The flaw stems from many accessories failing to enforce a critical step in the pairing process. To start the Fast Pair procedure, a Seeker (a phone) sends a message to the Provider (an accessory) indicating that it wants to pair. The Fast Pair specification states that if the accessory is not in pairing mode, it should disregard such messages. However, many devices fail to enforce this check in practice, allowing unauthorised devices to start the pairing process. After receiving a reply from the vulnerable device, an attacker can finish the Fast Pair procedure by establishing a regular Bluetooth pairing. https://whisperpair.eu/#:~:text=The%20flaw%20stems,regular%20Bluetooth%20pairing.
研究者によると、Google Fast Pairの接続仕様には問題が無かったがメーカ側の使い方に問題があった。
Googleの仕様では、デバイスがペアリングモードの際にのみペアリング手順を実行するように定めていた。しかしながら、メーカ側実装で既に他のデバイスとペアリングされている状態でも攻撃者が秘密裏に接続できるようになっていた。(*´∀`)ノ ナンデャネン!
研究者確認では最大14メートル、大体10秒以内、物理的アクセスなしで勝手に対応デバイスを操作可能になる。
本来は無くしたデバイスを探すためのFind Hubに勝手に登録されると、普通のデバイスが位置情報追跡デバイスに早変わり。
おそらく、既に自分のGoogleアカウントのFind Hubに追加されていれば悪用されないとは思うが、それでもデバイスは乗っ取られるからね。
ちなみにCVE番号が付いてる。->CVE-2025-36911
Google Fast Pair対応デバイスを直ぐにアップデートして
今回は、デバイス側に問題がある。Androidとかスマートフォンをアップデートしても意味ない。デバイスのファームウェアをアップデートする必要がある。
そんで、Google Fast PairのON/OFFとかは変えられないらしい。少なくともメーカのサポートは見たことない。デバイス側の設定は変えられないと。
研究者が確認した脆弱な機器一覧を公開している。
しかしながら、これで全部では無いだろう。あくまでも確認できた機器だけだと思うので。
自分の身の回りのデバイスのファームウェアをアップデートすべき。
所感
実装が問題でGoogleの仕様の問題ではないのは分かるが、メーカの品質保証テストとGoogleの認証プロセスの両方に合格しているのに、結局メーカ側の実装上の問題があったのでなんだかなぁという気持ち。
今後のストーカー手段の十八番になりそうだ。
お気を付けを!!!!!
