Google Fast Pairの脆弱性（CVE-2024-36981）がBluetooth盗聴と追跡を可能に

Google Fast Pairプロトコルの脆弱性がBluetoothオーディオ機器を攻撃に晒す

セキュリティ研究者らは、GoogleのFast Pairプロトコルに重大な脆弱性（CVE-2024-36981）を発見しました。この脆弱性により、攻撃者はBluetoothオーディオアクセサリを乗っ取り、ユーザーの移動を追跡し、会話を盗聴することが可能となります。この欠陥は、同プロトコルを利用する幅広いワイヤレスヘッドフォンやイヤフォンに影響を及ぼし、プライバシーとセキュリティに重大なリスクをもたらします。

CVE-2024-36981の技術的詳細

この脆弱性は、Fast Pairプロトコルにおける不適切な認証メカニズムに起因します。Fast Pairは、AndroidデバイスのBluetoothペアリングを簡素化するために設計されています。物理的に近接した攻撃者（通常10メートル以内）は、この欠陥を悪用して以下の行為を行うことができます：

• Bluetoothオーディオ機器の乗っ取り：正規のペアリング要求を偽装することで、デバイスを乗っ取ります。
• ユーザーの追跡：切断後も持続するデバイス識別子を利用して、ユーザーを追跡します。
• 会話の盗聴：アクティブなセッション中にオーディオストリームを傍受します。

Googleはこの脆弱性に**CVSSスコア8.2（高）**を割り当てており、ユーザーの操作なしに悪用される可能性があることを反映しています。同社は影響を受けるデバイス向けにパッチをリリースし、ユーザーに対して即時のアップデート適用を強く推奨しています。

影響分析

この脆弱性は主に、Fast Pairに対応したオーディオアクセサリを使用するAndroidユーザーに影響を及ぼします。これには、JBL、Sony、Boseなどの人気ブランドが含まれます。主なリスクは以下の通りです：

• プライバシー侵害：不正なオーディオ傍受によるプライバシーの侵害。
• 物理的追跡：Bluetooth信号の分析によるユーザーの物理的追跡。
• セッションの乗っ取り：オーディオの注入や接続の妨害など、悪意のある目的でのセッション乗っ取り。

現時点では野放しでの悪用は報告されていませんが、悪用の技術的ハードルが低いため、企業や個人ユーザーにとって高優先度のパッチ適用が求められます。

リスク軽減のための推奨事項

セキュリティチームおよびユーザーは、以下の対策を講じることでリスクを軽減できます：

1. Googleの最新セキュリティアップデートを適用：AndroidデバイスおよびFast Pair対応アクセサリに対して、最新のアップデートを適用します。
2. Fast Pairを無効化：機能上必須でないデバイスではFast Pairを無効にします。
3. Bluetooth接続の監視：不審なペアリング要求や不正なデバイスがないか、Bluetooth接続を監視します。
4. ユーザー教育：公共の場でのBluetooth利用のリスクについてユーザーに教育し、安全なペアリング方法を推奨します。

Googleは、この脆弱性を責任を持って報告したセキュリティ研究者に謝意を表しています。詳細な技術情報は、Googleのセキュリティブリテンで確認できます。