I ricercatori della KU Leuven University hanno individuato una grave vulnerabilità, denominata WhisperPair, che potrebbe essere sfruttata per ascoltare le conversazioni e tracciare la posizione degli utenti. Il problema di sicurezza è dovuto all’errata implementazione del protocollo Fast Pair di Google che consente l’abbinamento rapido dei dispositivi audio Bluetooth a smartphone, tablet o notebook.
Bug difficile da eliminare
Google Fast Pair velocizza il collegamento di auricolari, cuffie e altoparlanti a smartphone, tablet o notebook. Consente anche la condivisione audio, lo switch automatico tra dispositivi e la ricerca dei dispositivi sulla rete Find Hub. I ricercatori hanno scoperto che molti produttori non hanno implementato correttamente il protocollo, introducendo quindi la vulnerabilità WhisperPair (CVE-2025-36911).
Il bug è presente negli accessori audio, per cui sono a rischio anche gli utenti che abbinano i dispositivi all’iPhone. In base alle specifiche Fast Pair non è possibile effettuare il collegamento senza il consenso dell’utente. Tuttavia molti produttori permettono ugualmente la connessione automatica.
Un cybercriminale deve solo trovarsi entro una distanza di 14 metri. In appena 10 secondi può abbinare il suo dispositivo all’accessorio audio della vittima e ottenere un controllo completo. Potrebbe così eseguire azioni “innocue”, come interrompere/avviare la riproduzione audio o aumentare/diminuire il volume, ma anche registrare le conversazioni o l’audio ambientale e tracciare la posizione dell’utente.
Alcuni dispositivi audio supportano la rete Find Hub di Google che consente di trovare l’auricolare perso con l’aiuto degli smartphone Android di altri utenti. Se l’accessorio non è stato mai abbinato ad un dispositivo Android, un cybercriminale potrebbe aggiungerlo al proprio account Google e quindi tracciare sulla mappa l’utente che lo usa.
I ricercatori hanno ricevuto un premio di 15.000 dollari da Google per la scoperta della vulnerabilità. L’azienda di Mountain View ha rilasciato un fix per i suoi dispositivi. Gli utenti devono attendere un aggiornamento dal produttore (che potrebbe non arrivare mai). La funzionalità Fast Pair non può essere disattivata sugli accessori audio, ma solo sui dispositivi Android.
Ti potrebbe interessare
16 gen 2026