文章总结： 比利时鲁汶大学发现谷歌快速配对协议存在漏洞CVE-2025-36911，影响数亿台蓝牙音频设备。攻击者可远程劫持设备激活麦克风窃听，或利用查找中枢网络追踪位置。测试显示68%设备存在风险，建议用户立即联系厂商安装补丁，仅下载官方更新，并在修复前保持警惕。 综合评分： 78 文章分类： 漏洞预警,IoT安全,威胁情报

谷歌蓝牙漏洞危及数亿音频设备

走狗是狗哥 走狗是狗哥

安在

2026年1月19日 18:52 上海

研究人员发出警告，谷歌快速配对服务中存在一个新漏洞。该漏洞可让黑客窃听数亿台蓝牙音频设备，你的设备是否也在其中？

核心要点如下：

1.黑客能够远程劫持蓝牙音频设备，在用户毫不知情的情况下开启麦克风。

2.由于漏洞存在于谷歌快速配对系统中，因此影响波及多个品牌的数亿台设备。

3.用户应立即安装厂商推送的更新补丁，以防范黑客的主动攻击。

上述核心要点由nexos.ai整理，并经《网络新闻》工作人员审核。

比利时鲁汶大学的COSIC研究小组于本周三发现了这一组名为“耳语配对”的漏洞。该漏洞的追踪编号为CVE-2025-36911，研究小组已向谷歌进行了报告。

研究人员表示，数亿副耳塞、耳机和音箱都面临攻击风险。用户应立即为自己的设备安装补丁。

受影响的音频设备还包括车载套件、麦克风、鼠标和键盘。这些设备可能来自任何主流品牌或芯片组，因为这个严重漏洞就存在于快速配对服务之中。

研究人员警示，即便是通过厂商质量检测和谷歌认证的设备，也可能存在该漏洞。

COSIC研究小组称：“我们发现，一项旨在简化配对流程的小型易用性附加功能，对数亿用户构成了大范围的安全与隐私风险。”

攻击原理

谷歌一键快速配对服务（GFPS）采用了低功耗蓝牙技术。该技术也被称为智能蓝牙，是一种射频技术。它能最大限度减少用户操作，帮助用户无缝完成蓝牙与低功耗蓝牙设备的配对。

COSIC研究小组指出，这项已推出近十年的GFPS协议存在缺陷。攻击者可借此在未经用户许可的情况下，悄无声息地劫持设备、调取麦克风、注入音频内容，甚至通过谷歌查找中枢网络追踪用户位置。

研究小组还解释，这类攻击可在数秒内完成，且能在蓝牙的有效传输距离内实施。

攻击的第一步，是攻击者在用户毫无察觉的情况下，与目标蓝牙设备完成配对。随后，攻击者会暗中激活设备的麦克风。COSIC研究小组表示，借助谷歌查找中枢网络，攻击者还能将该设备变为定位追踪器。

COSIC研究小组对16家厂商的25款商用设备进行了测试。这些设备涵盖17种不同的蓝牙芯片组，其中就包括索尼、JBL等知名品牌的产品。

研究人员称：“在接受测试的设备中，有68%存在被强制配对劫持的风险。并且在所有可被劫持的设备上，我们都成功获取了麦克风的访问权限。”

此外，研究人员还模拟了列车环境和网络跟踪等真实场景，对攻击的实际效果进行了测试。

在列车场景的测试中，COSIC研究小组发现，一旦黑客控制了你的音频设备，就可以发起“中间人攻击”，或注入恶意音频来获取麦克风的输入信息，从而实现对通话内容的窃听。

在网络跟踪场景的测试中，一旦黑客未经授权侵入你的快速配对认证设备，就能通过众包模式的查找中枢网络，对你的位置进行长达数天的追踪，而你对此可能毫无察觉。

检测与修复方法

研究指出，在更先进的蓝牙配对协议出现之前，用户需要手动将设备切换至“配对模式”。这种模式下，只有受信任的设备才能完成配对连接。

但研究人员表示，为实现一键配对功能，协议中新增了一项微调设计。该设计依靠设备固件来“检查”设备是否处于配对模式，而这一机制在许多快速配对认证设备上都能被轻易绕过。

COSIC研究小组表示：“行业在追求便捷设置流程的过程中，忽视了设备的核心安全防护。我们的研究表明，安全防护不应是走形式的表面功夫，而必须由协议本身从底层进行严格保障。”

COSIC研究小组建议，用户应联系设备厂商，确认自己的设备是否在受影响的数百万台设备之列。确认后需立即下载并安装厂商提供的补丁。

研究人员还公布了其测试设备的详细清单，明确标注了各设备是否存在漏洞。你可以点击此处查看完整清单。

COSIC同时提醒，用户应仅下载和安装厂商直接发布的软件补丁。

此外，由于该漏洞是近期才被报告，部分厂商可能尚未准备好对应的修复补丁。用户需要持续关注并检查设备更新。

原文链接：https://cybernews.com/security/google-bluetooth-fast-pair-flaw-audio-devices/

加入诸子云知识星球

获取更多“安全意识资料”和“网络安全报告”

<

左滑了解更多详情

>

安在安全意识团购服务

安在新媒体面向企业用户，推出“网络安全意识团购服务”，涵盖宣传素材、培训课程、威胁体验、游戏互动等，采用线上线下融合的方式，帮助员工掌握安全要点，并提供定制化安全策略咨询。

<

左滑了解更多详情

>

**部分展示，以作参考

更多服务，详情洽谈**

Tina 诸子云群秘

END

点击这里阅读原文

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安在 走狗是狗哥 走狗是狗哥《谷歌蓝牙漏洞危及数亿音频设备》