Auricolari Bluetooth a rischio: la falla WhisperPair permette di ascoltare comunicazioni e tracciare l'utente

Una vulnerabilità grave nel protocollo Google Fast Pair espone centinaia di milioni di dispositivi audio Bluetooth a gravi rischi di sicurezza. La falla, battezzata WhisperPair e tracciata con il codice CVE-2025-36911, è stata scoperta dal gruppo COSIC dell'università KU Leuven in Belgio e deriva da un'implementazione errata del protocollo nei dispositivi Provider, come auricolari, cuffie e speaker wireless.

Il protocollo Fast Pair, progettato per semplificare l'abbinamento one-tap con gli smartphone Android, prevede che gli accessori ignorino richieste di abbinamento se non si trovano in modalità pairing. I dispositivi di alcuni produttori, però, non applicano questo tipo di controllo, il che consente ad un aggressore di forzare l'abbinamento in pochi secondi utilizzando hardware del tutto comune, come un portatile o un sistema Raspberry Pi. Il tutto può avvenire senza alcuna interazion con l'utente legittimo e senza accesso fisico al dispositivo preso di mira.

Una volta connesso, l'hacker ottiene pieno controllo del dispositivo audio: puo' riprodurre audio a volume massimo, attivare microfoni per spiare conversazioni o, nei casi di dispositivi mai abbinati ad Android, aggiungere l'accessorio al proprio account Google per tracciare la posizione via rete Find Hub. Le notifiche di tracciamento indesiderato mostrano il dispositivo della vittima, inducendo a ignorarle come bug.

La vulnerabilità è a carico dei dispositivi di Google (Pixel Buds Pro 2), Jabra, JBL, Logitech, Marshall, Nothing (Ear a), OnePlus (Nord Buds 3 Pro), Sony (WH-1000XM4/5/6), Soundcore e Xiaomi, su chipset di Actions, Airoha, Bestechnic, MediaTek, Qualcomm e Realtek: qui l'elenco di tutti i dispositivi interessati, compilato dai ricercatori. La falla ha superato i test di controllo qualità e la certificazione di Google, evidenziando pertanto un problema sistemico nella catena di validazione.

I ricercatori hanno segnalato la vulnerabilità a Google nel mese di agosto 2025, che l'ha classificata come critica e con una ricompensa di 15 mila dollari. Nella finestra di 150 giorni successiva alla condivisione, Google ha collaborato con i produttori interessati per realizzare patch correttive e aggiornamenti firmware, ma al momento non sono disponibili ancora per tutti i dispositivi interessati dal problema. E' importante sottolineare che disabilitare la funzione Fast Pair sul telefono non ha alcun effetto poiché la vulnerabilità è a carico dell'eventuale accessorio Bluetooth: l'unica soluzione è l'aggiornamento del firmware dell'accessorio.

E ancora: dal momento che la vulnerabilità è carico degli accessori, anche utenti di iPhone/iOS in possesso di auricolari e dispositivi audio interessati dalla vulnerabilità dovrebbero aggiornare il prima possibile il firmware dei propri accessori, una volta disponibili le patch correttive.