Nel mondo delle cuffie wireless esiste una funzione chiamata Google Fast Pair, progettata per connettere auricolari e cuffie ai dispositivi Android con un semplice tocco.
Una recente scoperta nel campo della sicurezza informatica ha gettato un’ombra su questa funzionalità per la semplificazione dell’esperienza utente: un gruppo di ricercatori dell’Università KU Leuven, in Belgio, ha rivelato l’esistenza di una serie di vulnerabilità critiche denominate collettivamente WhisperPair.
Queste falle di sicurezza permettono a un attaccante di dirottare, ascoltare e persino tracciare fisicamente gli utenti attraverso i loro accessori audio, il tutto senza che la vittima se ne accorga o interagisca in alcun modo con il dispositivo.
WhisperPair permette di ascoltare e tracciare fisicamente gli utenti
Il cuore del problema risiede nel protocollo Google Fast Pair Service (GFPS), utilizzato da centinaia di milioni di dispositivi per facilitare l’accoppiamento tramite Bluetooth Low Energy (BLE).
Normalmente, il processo di pairing dovrebbe richiedere che l’accessorio sia in una specifica modalità di accoppiamento per accettare nuove connessioni. I ricercatori hanno però scoperto che, a causa di un’implementazione errata del protocollo in numerosi chipset, questo controllo di sicurezza viene spesso saltato.
Di conseguenza, un malintenzionato dotato di un semplice computer portatile o di un dispositivo apposito può forzare una connessione Fast Pair anche se gli auricolari sono già nelle orecchie dell’utente e stanno riproducendo musica.
Una volta stabilito il collegamento, l’attaccante ottiene il controllo completo dell’accessorio, potendo iniettare suoni disturbanti o, scenario ben più grave, attivare il microfono integrato per intercettare conversazioni private e ambientali.
Dall’ascolto al pedinamento
Le implicazioni di WhisperPair vanno ben oltre la semplice violazione della privacy e si estendono alla sicurezza fisica dell’utente. I ricercatori hanno evidenziato uno scenario particolarmente allarmante che coinvolge la rete “Find My Device” (o Find Hub) di Google, il sistema utilizzato per localizzare dispositivi smarriti.
Se un attaccante riesce ad accoppiarsi per primo con l’accessorio, o se la vittima utilizza le cuffie con un dispositivo non Android (come un iPhone) senza averle mai registrate su un account Google, l’hacker può registrare il proprio account come “proprietario” legittimo dell’hardware.
In questo scenario, l’accessorio diventa a tutti gli effetti un dispositivo di tracciamento nelle mani dell’aggressore. Sfruttando la vasta rete di localizzazione di Google, il malintenzionato può seguire gli spostamenti della vittima in tempo reale.
Sebbene esistano notifiche anti-stalking progettate per avvisare gli utenti di tracciamenti indesiderati, i ricercatori sottolineano che tali avvisi potrebbero essere confusi con errori di sistema, poiché indicherebbero che le proprie cuffie stanno tracciando l’utente stesso.
Google ha classificato questa vulnerabilità come critica, assegnandole il codice CVE‑2025‑36911, e ha lavorato per distribuire correzioni, sebbene i ricercatori abbiano dimostrato come alcune patch iniziali fossero aggirabili in poche ore.
La sfida degli aggiornamenti e i dispositivi a rischio
La risoluzione del problema presenta una sfida non indifferente. A differenza degli aggiornamenti del sistema operativo dello smartphone, che avvengono centralmente, la correzione per WhisperPair richiede spesso un aggiornamento del firmware specifico dell’accessorio audio.
Questo significa che l’utente deve scaricare l’applicazione proprietaria del produttore delle cuffie e installare manualmente l’update, una procedura che molti consumatori ignorano o trascurano.
I ricercatori hanno testato 25 dispositivi commerciali di 16 produttori diversi, scoprendo che ben il 68% di essi era vulnerabile all’attacco. I marchi coinvolti sono tra i più noti del settore, tra cui Sony, JBL, Jabra, Marshall, Xiaomi, Nothing, OnePlus, Soundcore, Logitech e la stessa Google.
Sebbene molti produttori abbiano già rilasciato o stiano lavorando a correzioni software dopo essere stati allertati, la frammentazione del mercato IoT (Internet of Things) rende difficile garantire che tutti i dispositivi vengano messi in sicurezza tempestivamente.
Per verificare se il proprio dispositivo è a rischio, è essenziale consultare le comunicazioni ufficiali del produttore. Di seguito riportiamo l’elenco dei modelli specifici che i ricercatori hanno confermato essere vulnerabili durante i loro test, tenendo presente che la lista potrebbe non essere esaustiva:
- Anker soundcore Liberty 4 NC
- Google Pixel Buds Pro 2
- JBL TUNE BEAM
- Jabra Elite 8 Active
- Marshall MOTIF II A.N.C.
- Nothing Ear (a)
- OnePlus Nord Buds 3 Pro
- Sony WF-1000XM5
- Sony WH-1000XM4
- Sony WH-1000XM5
- Sony WH-1000XM6
- Sony WH-CH720N
- Xiaomi Redmi Buds 5 Pro
