假冒品牌、網站、公司信件的詐騙越來越多
最近發現一個新的漏洞,叫做 WhisperPair,它可以把很多知名品牌的藍牙耳機,直接變成「個人追蹤器」。不管這副耳機現在是連著 iPhone、Android 手機,甚至是筆電,都有可能中招。
雖然這個漏洞用到的技術一開始是 Google 為 And roid 裝置設計的,但實際上,使用 iOS、macOS、Windows 或 Linux 的人風險反而更高,尤其是 iPhone 用戶,真的要特別注意。
Fast Pair 很方便,但也埋了雷
自從 Google 推出 Fast Pair 之後,藍牙耳機跟 Android 手機的配對速度快很多,現在也被一堆配件廠商採用。
要配新耳機超簡單:
開機 → 拿到手機旁邊 → 手機跳出視窗 → 點一下就連好了(有需要的話還會順便叫你裝官方 App)。
如果你的手機或耳機是 2019 年之後出的,大多都有這個功能。
但問題來了——有不少廠商在實作 Fast Pair 時沒把細節做好,結果就是:
👉 耳機就算沒有進入配對模式,
👉 也可能在幾秒內被「路人的手機搶走配對」。
這正是 WhisperPair 漏洞最核心的問題。這個漏洞是由比利時 KU Leuven 的研究人員發現的,登記為 CVE-2025-36911。
攻擊方式其實很簡單
攻擊者只需要一支普通的手機、平板或筆電,在 14 公尺內對附近所有藍牙裝置廣播 Fast Pair 配對請求就行了。
實驗發現,像是 Sony、JBL、Redmi、Anker、Marshall、Jabra、OnePlus,甚至 Google 自家的 Pixel Buds 2,很多耳機就算根本沒打算配對,也會傻傻回應。
整個攻擊流程 平均只要 10 秒。
被配對後,對方能幹嘛?
一旦耳機被配走,攻擊者幾乎可以做「耳機主人能做的所有事」,例如:
- 用麥克風偷聽
- 播放音樂
- 更誇張的是:如果耳機支援 Google Find Hub(找裝置功能),
👉 還可以直接在地圖上追蹤耳機位置
這個功能原本是用來找「弄丟的耳機」,結果現在反而變成偷偷遠端追蹤的完美工具。
而最諷刺的是——這對蘋果用戶和非 Android 使用者反而最危險。
為什麼 iPhone 用戶特別危險?
當耳機第一次用 Fast Pair 跟某支 Android 手機連線時,
那支手機所綁定的 Google 帳號「擁有者金鑰」,會被存進耳機裡。
之後,只要世界上任何一支 Android 手機透過藍牙掃描到這副耳機,
就會把位置回傳給 Google 伺服器,
讓耳機能在 Google Find Hub 上被定位。
你可以把它想成:
👉 Android 版的「尋找我的裝置」
👉 風險等級跟「惡意 AirTag 追蹤」差不多
為什麼「沒用過 Android」的人反而更慘?
如果你的耳機:
- 從來沒配對過 Android 手機
- 一直只拿來搭配 iPhone、Mac、Windows 或 Linux
那麼一旦被 WhisperPair 劫持,
👉 攻擊者的金鑰就可能直接變成「耳機的主人」。
結果是什麼?
👉 對方可以在地圖上「悠哉地」追蹤你的耳機
👉 而且 不限距離、不用靠近你(不是只有 14 公尺)
反而是 原本就用 Android + Fast Pair 的用戶,
因為耳機早就綁定正牌主人帳號,
這種特定手法對他們影響比較小。
那現在該怎麼防?
✅ 最有效的方法(強烈建議)
- 更新耳機韌體(如果廠商有出)
- 通常要用官方 App 才能更新
- 更新完一定要做「出廠重置」
- 清掉所有已配對裝置
- 包含你不知道什麼時候冒出來的「陌生配對」
研究人員有整理一份「可能有漏洞的裝置清單」,
但幾乎可以確定:那不是完整名單。
⚠️ 如果沒有韌體更新怎麼辦?
如果你:
- 用的是 iOS / macOS / Windows / Linux
- 耳機又沒更新可以裝
那你只剩下一個比較無奈但有效的方法:
👉 找一支 Android 手機來配對耳機一次
(自己借,或找信得過的朋友)
這樣可以先把「正牌擁有者身分」卡位住,
避免別人偷偷把你的耳機加進 Google Find Hub 裡。
Google 最新的動作
2026 年 1 月,Google 已經推出 Android 系統更新,修掉系統端的問題。
但修了哪些、怎麼修的,目前細節沒有公開。
比較可能的情況是:
👉 更新後的 Android 手機
👉 不再回報「透過 WhisperPair 劫持的耳機」位置到 Find Hub
不過現實是:
- 不是每個人都會馬上更新 Android
- 市面上還有一堆舊裝置在跑
所以可以很確定地說:
👉 這種耳機被追蹤的風險,至少還會存在好幾年
資料來源: 如何保護自己免受藍牙耳機追蹤與 WhisperPair 攻擊