近日，比利时鲁汶大学的研究人员发现了 Google Fast Pair协议在实现层面的一个高危漏洞，攻击者可借此劫持蓝牙耳机等音频设备，追踪用户并窃听其谈话。这个漏洞被称为 “窃听低语（WhisperPair）”，编号为CVE-2025-36911，影响范围波及数亿台支持 Google Fast Pair 的无线耳机、耳塞、音箱等蓝牙音频设备。

Google Fast Pair是谷歌推出的一项基于蓝牙BLE技术实现快速配对的协议，旨在简化蓝牙设备（尤其是耳机、扬声器等音频产品）与Android设备的连接过程。只需轻轻一点，设备即可快速识别并完成配对，无需进入复杂的蓝牙设置菜单。主要过程如下：

1. 设备处于配对模式时，显示半页通知，便于用户进行初始配对；

2. 初次配对完成后，将设备与用户的 Google 账户关联；

3. 当设备开机且靠近用户拥有的其他手机、平板或桌面设备时，无需用户再次将设备置于配对模式即可配对。

Google Fast Pair 规范明确要求，设备不在配对模式时，必须忽略所有配对请求。然而，研究人员发现，不少音频设备厂商并未严格实现对工作模式的检查，从而使设备在未经用户授权的情况下响应配对请求并启动快速配对过程，从而导致了“窃听低语”漏洞。

利用 “窃听低语” 漏洞，攻击者可以使用任何具备蓝牙功能的设备（如笔记本电脑、树莓派，甚至是手机）发送Google Fast Pair配对请求，在距离高达 14 米的范围内，无需用户交互或物理接触，就能在数秒内与存在该漏洞的音频设备强行配对。配对完成后，攻击者可在受害者毫无察觉的情况下完全控制音频设备，例如通过设备麦克风窃听用户谈话。不仅如此，如果该配件从未与Android设备配对过，攻击者还可将该设备添加到自己的Google 账户，通过谷歌的 “查找中心（Find Hub）” 功能追踪受害者的位置。

Google Fast Pair 在实现“一键配对”时，默认选用 Just Works 作为底层配对模式，这是“窃听低语”漏洞的关键成因之一。Just Works是蓝牙安全管理器（SMP）的标准配对模式之一，适用于蓝牙耳机、音箱等人机交互界面受限的设备，特点是配对过程完全“无感”：无需 PIN 码、无需用户确认，自动协商密钥。但该模式仅提供链路加密功能，无身份认证，无法防御中间人（MITM）攻击。

飞天诚信为中国农业银行提供的通用K宝（“蓝牙二代key”）同样使用了Just Works模式，但飞天诚信从一开始就意识到该模式的安全缺陷，采取了有针对性的专利技术（ZL201510965272.X“一种实现蓝牙设备间安全交互配对认证的方法及装置”）：

1. 掌银App通过Just Works模式与通用K宝建立连接，生成随机数并发送至通用K宝；

2. 通用K宝对接收到的随机数计算哈希值并保存，并将所述哈希值发送至掌银App；

3. 掌银App校验接收到的哈希值，通过后生成配对码并显示，并向所述蓝牙设备发送配对请求；

4. 通用K宝接收到配对请求后，根据自身保存的哈希值生成配对码并提示用户与掌银App所显示的配对码进行比对；

5. 待用户比对无误，按下通用K宝的确认键，通用K宝与掌银App协商会话密钥（而不使用通过Just Works模式所协商的密钥），完成配对。

该方案有效地弥补了Just Works模式的安全缺陷。因此，飞天诚信通用K宝不存在“窃听低语”漏洞。

目前，谷歌已协调合作厂商推送固件补丁。但问题在于，并非所有受影响的设备都能及时获得更新——老旧设备、小众品牌、已停产型号可能永远无法修复。正如研究人员警告，"窃听低语"或将长期潜伏在数亿台设备中。

当科技追求极致便利时，安全是否注定成为牺牲品？

Google Fast Pair的设计初衷无可厚非——让技术隐形，让体验流畅。但"无感"不应等同于"无防"。"窃听低语"暴露的不仅是某家厂商的疏忽，更是整个物联网生态的系统性挑战。

当万物互联成为常态，安全不能是事后补丁，而应是与生俱来的基因。从蓝牙协议的底层缺陷，到数亿设备的潜在风险，我们看到的不仅是一个技术漏洞，更是对整个数字安全产业的深刻拷问——在便利与安全之间，中国科技企业应当如何作答？

飞天诚信用二十余年深耕的“云-端-芯”全栈自主知识产权核心技术体系给出了答案：核心技术自主可控，安全防线才能牢不可破。

凭借超过700件全球有效专利的技术沉淀，飞天诚信已经成为全球数字安全领域的重要参与者，为全球80多个国家和地区的6000余家客户提供解决方案。在万物互联的时代，我们坚信：真正的智能，是让用户安心地享受便利；真正的安全，是从芯片到云端的无声守护。

网络安全无小事，自主可控方致远。这既是飞天诚信的初心，更是我们面向未来的决心。