Cosa devi sapere subito: la minaccia WhisperPair
Una vulnerabilità critica denominata WhisperPair è stata scoperta nei dispositivi audio Bluetooth compatibili con Google Fast Pair. Questa falla consente a malintenzionati di prendere il controllo dei tuoi auricolari senza alcuna autorizzazione, ascoltare le tue conversazioni private e tracciare la tua posizione geografica. La soluzione immediata? Aggiorna il firmware dei tuoi auricolari tramite l’app del produttore, associa i tuoi accessori a un account Google e disabilita il Bluetooth quando non lo usi.
Come funziona l’attacco WhisperPair
Google Fast Pair è una tecnologia che semplifica l’associazione tra auricolari, cuffie e altri accessori Bluetooth con smartphone e tablet. Normalmente, questa funzionalità dovrebbe consentire nuove connessioni solo quando l’utente attiva manualmente la modalità di accoppiamento. Tuttavia, i ricercatori dell’Università KU Leuven in Belgio hanno scoperto che molti produttori non hanno implementato correttamente questa verifica di sicurezza.
Un attaccante può sfruttare questa lacuna per inviare messaggi Fast Pair non autorizzati a un dispositivo audio vulnerabile. Poiché il dispositivo non verifica se è effettivamente in modalità di accoppiamento, risponde alla richiesta e consente l’associazione. In questo modo, l’hacker completa una normale procedura di pairing Bluetooth e ottiene il controllo totale dell’accessorio.
Il processo richiede meno di 10 secondi e l’attaccante deve trovarsi entro un raggio di circa 14 metri dalla vittima. Nessun accesso fisico al dispositivo è necessario, e l’intero attacco avviene silenziosamente senza che l’utente se ne accorga.
I rischi concreti della vulnerabilità
Una volta che un malintenzionato ha preso il controllo di un accessorio audio, le possibilità di abuso sono ampie e preoccupanti:
- Registrazione di conversazioni: l’hacker può accedere al microfono integrato degli auricolari e registrare tutto ciò che senti o dici
- Riproduzione audio forzata: può riprodurre suoni o rumori a qualsiasi volume direttamente nelle tue orecchie
- Tracciamento della posizione: se gli auricolari sono compatibili con Google Find Hub, l’attaccante può registrare il dispositivo sul proprio account Google e tracciare la tua posizione attraverso la rete di localizzazione di Google
- Sorveglianza continua: se l’attacco è stato completato in precedenza, il tracciamento può continuare anche quando credi che gli auricolari non siano connessi
I notifiche di tracciamento non autorizzato arrivano spesso con ritardo, talvolta ore o giorni dopo l’attacco, portando gli utenti a scambiarle per errori software e a ignorarle mentre vengono tracciati indefinitamente.
Quali dispositivi sono vulnerabili
La vulnerabilità WhisperPair (identificata con il codice CVE-2025-36911) colpisce dispositivi audio di numerosi produttori tra cui Jabra, JBL, Marshall, Nothing, Soundcore e Logitech. Tuttavia, il problema non è limitato a un singolo marchio: rappresenta un fallimento sistemico che coinvolge l’intera filiera di Google.
Le categorie di utenti più esposte includono:
- Proprietari di iPhone che utilizzano auricolari compatibili con Fast Pair ma non li hanno mai associati a un account Google
- Utenti che non hanno aggiornato il firmware dei propri accessori
- Chi disabilita regolarmente il Bluetooth e non riceve le notifiche di pairing non autorizzato
È importante sottolineare che tutti i dispositivi vulnerabili hanno superato i test di qualità dei produttori e le certificazioni ufficiali di Google, indicando che il problema non è il risultato di errori isolati, ma di una catena di fallimenti di conformità a livello di implementazione, validazione e certificazione.
Come proteggerti dalla vulnerabilità
Azioni immediate:
- Aggiorna il firmware: scarica l’app del produttore del tuo accessorio e verifica la disponibilità di aggiornamenti di sicurezza. Molti produttori hanno già rilasciato patch correttive
- Associa l’accessorio a Google: usa Fast Pair per collegare i tuoi auricolari a un account Google. Questo impedisce a un hacker di registrare il dispositivo su un altro account e utilizzarlo per il tracciamento
- Aggiorna il tuo smartphone: assicurati che il tuo dispositivo Android o iPhone sia aggiornato all’ultima versione del sistema operativo e delle app che gestiscono Fast Pair
- Monitora le notifiche: presta attenzione a qualsiasi notifica di pairing non autorizzato, anche se sembra un errore
- Disabilita il Bluetooth quando non lo usi: quando gli auricolari non sono in uso, spegni il Bluetooth per ridurre la finestra di esposizione
Limitazioni importanti:
La vulnerabilità risiede nel firmware degli accessori, quindi non esiste alcuna impostazione nel telefono che possa disattivarla completamente. L’unico modo permanente per risolvere il problema è attendere gli aggiornamenti dal produttore. Inoltre, la funzionalità Fast Pair non può essere disattivata sugli accessori audio stessi, anche se su Android è possibile disabilitarla sui dispositivi.
La risposta di Google e della comunità di sicurezza
Google ha classificato WhisperPair come vulnerabilità critica e ha concesso un periodo di 150 giorni prima della divulgazione pubblica, a partire da agosto 2025. Questo ha dato ai produttori il tempo necessario per sviluppare e rilasciare patch di sicurezza.
I ricercatori che hanno scoperto la vulnerabilità hanno ricevuto il massimo premio di 15.000 dollari da Google per la ricerca responsabile. L’azienda di Mountain View ha rilasciato un fix per i suoi dispositivi, ma gli utenti devono attendere aggiornamenti dai singoli produttori.
Tuttavia, rimane una sfida significativa: non tutti i produttori rilasceranno aggiornamenti per tutti i dispositivi, e molti utenti potrebbero non avere accesso alle patch disponibili. Questo rappresenta un problema di sicurezza a lungo termine che richiede vigilanza continua.
Technical Deep Dive: Aspetti tecnici della vulnerabilità
Per gli utenti più esperti, è importante comprendere come WhisperPair sfrutta le debolezze nel protocollo Fast Pair:
Il meccanismo di attacco:
Google Fast Pair utilizza la tecnologia Bluetooth Low Energy (BLE) per rilevare i dispositivi compatibili nelle vicinanze. Il protocollo prevede che gli accessori rispondano alle richieste di sincronizzazione solo quando sono esplicitamente in modalità di pairing. Tuttavia, l’analisi dei ricercatori ha rivelato che molti chipset e implementazioni firmware non applicano questa verifica essenziale.
L’attaccante invia un messaggio BLE Fast Pair iniziale al dispositivo target. Se il firmware è vulnerabile, il dispositivo risponde anche se non è in modalità di pairing. A questo punto, l’attaccante completa una procedura standard di pairing Bluetooth, stabilendo una connessione crittografata.
Il problema del tracciamento tramite Find Hub:
Google Find Hub è un servizio di tracciamento crowdsourced che funziona scrivendo Account Keys sui dispositivi Bluetooth durante il pairing. La prima chiave scritta diventa la “Owner Account Key”, stabilendo la proprietà del dispositivo.
Nei casi in cui un accessorio non è mai stato associato a un dispositivo Android, nessuna chiave di proprietà è stata scritta. Un attaccante può quindi completare il pairing con il proprio account, diventando il proprietario registrato del dispositivo e guadagnando accesso persistente al tracciamento tramite Find Hub.
Implicazioni sulla sicurezza Bluetooth:
WhisperPair evidenzia un problema più ampio: l’implementazione incoerente degli standard di sicurezza Bluetooth tra i produttori. Sebbene le specifiche di Fast Pair richiedano controlli di sicurezza rigorosi, la mancanza di enforcement durante il processo di certificazione ha permesso dispositivi vulnerabili di raggiungere il mercato.
I ricercatori hanno documentato che la vulnerabilità affligge multipli dispositivi, fornitori e chipset con identici fallimenti di implementazione, suggerendo che il problema non è isolato ma sistemico. Questo solleva questioni importanti sulla governance della sicurezza nei processi di certificazione dei dispositivi IoT e accessori consumer.
