2026-01-18 16:31:00
Una vulnerabilità mette a repentaglio la sicurezza e la privacy degli utenti di accessori Bluetooth come auricolari e cuffie, secondo uno studio dell’Università di Lovanio
Ricercatori dell’Università di Lovanio, in Belgio, hanno scoperto una vulnerabilità che colpisce gli auricolari Bluetooth di numerosi marchi, tra cui Google, OnePlus, Sony e Xiaomi. Il problema, denominato WhisperPair, riguarda il meccanismo di accoppiamento tra auricolari e dispositivi come smartphone o laptop. In sostanza, un malintenzionato potrebbe intromettersi in questo processo nel giro di pochi secondi, sfruttando una debolezza nel protocollo di connessione.
Alcuni produttori hanno già rilasciato aggiornamenti correttivi, ma i ricercatori nutrono dubbi sulla loro reale efficacia.
Come funziona la vulnerabilità
Gli auricolari coinvolti utilizzano Google Fast Pair, una funzionalità che semplifica l’associazione con smartphone e altri dispositivi, collegandoli automaticamente all’account Google dell’utente. Il sistema si basa sulla tecnologia Bluetooth Low Energy (BLE) per rilevare i dispositivi compatibili nelle vicinanze. Alcuni di questi auricolari si integrano anche con Find Hub di Google, il servizio per rintracciare oggetti smarriti. Questa caratteristica solleva però preoccupazioni sulla privacy: sfruttando la falla, un attaccante potrebbe potenzialmente localizzare l’utente che indossa gli auricolari.
Sfruttando questa vulnerabilità, un malintenzionato può associare gli auricolari della vittima a un proprio dispositivo, ad esempio un laptop, senza alcuna autorizzazione. Il legittimo proprietario perde così il controllo dell’accessorio senza rendersene conto.
A quel punto l’attaccante può riprodurre audio negli auricolari a qualsiasi volume oppure registrare conversazioni attraverso il microfono integrato (su alcuni modelli). L’unico requisito è trovarsi entro circa 14 metri dalla vittima.
Perché esiste questa falla
Il problema nasce da un passaggio mancante nel processo di accoppiamento. Normalmente, quando un telefono invia una richiesta di sincronizzazione, gli auricolari dovrebbero rispondere solo se si trovano in modalità associazione. In caso contrario, dovrebbero ignorare la richiesta. Tuttavia molti accessori non eseguono questo controllo, oppure lo fanno in modo improprio. Il risultato è che anche dispositivi non autorizzati possono avviare e completare l’accoppiamento via Bluetooth.
I rischi per la privacy
Le conseguenze possono essere serie. Se gli auricolari non sono ancora stati collegati a un dispositivo Android, un attaccante può associarli al proprio account Google e sfruttare Find Hub, il servizio che localizza gli accessori smarriti grazie alle segnalazioni di altri dispositivi Android nelle vicinanze. In questo modo il malintenzionato può tracciare gli spostamenti della vittima attraverso i suoi stessi auricolari.
Ma come può l’utente accorgersi di essere sotto controllo?
La vittima
La vittima potrebbe ad esempio visualizzare una notifica di tracciamento indesiderata, ma non è un avviso immediato e comunque la notifica illustrerà il proprio dispositivo. Una caratteristica che potrebbe confondere l’utente e illuderlo che si tratti di un bug. Il rischio è che così la vittima sia esposta alla mercé dell’attaccante finché quest’ultimo lo desidera.
Secondo i ricercatori, WhisperPair non è un caso isolato e secondo lo studio, i dispositivi vulnerabili hanno superato test di garanzia e qualità nonché il processo di certificazione di Google. Questo ha indotto i ricercatori a ritenere che si tratti di un errore sistemico e non di un singolo sviluppatore. Secondo la ricerca «Ciò dimostra una catena di fallimenti di conformità in Google Fast Pair, poiché la vulnerabilità non è stata rilevata a tutti e tre i livelli: implementazione, convalida e certificazione». La falla è comunque nota da diverso tempo: le segnalazioni sono state inoltrate a Google nell’agosto del 2025, che è stato poi segnalato come problema «critico» (CVE-2025-36911). Ma come difendersi?
Come difendersi
Per tutelarsi i produttori hanno rilasciato un aggiornamento software, anche se non tutti potrebbero essere disponibili per ogni dispositivo vulnerabile. Tra i dispositivi interessati troviamo accessori di Sony, Jabra, JBL, Marshall, Xiaomi, Nothing, OnePlus, Soundcore, Logitech e Google.
L’attacco ha comunque dei limiti. Benché si tratti di un procedimento tutto sommato veloce, deve svolgersi in tempi rapidi e in prossimità dell’utente.
Gli accessori più recenti di contro possono essere accoppiati a più dispositivi (due smartphone, uno smartphone e un laptop, due laptop), ma è anche vero che, nella maggior parte dei casi, gli accessori per essere in modalità pairing, necessitano la pressione fisica di un tasto presente in genere sulla custodia e di essere posizionati all’interno della stessa. Inoltre, molti dispositivi (se non tutti) offrono la possibilità di controllare il dispositivo da un’apposita applicazione, che rileva a quali dispositivi l’accessorio è connesso.
Ma è anche vero che vi è la possibilità che i prodotti dello stesso brand possono accoppiarsi quasi istantaneamente anche senza Google Fast Pair. L’attacco, comunque, non può essere portato a termine quando le cuffie sono all’interno della custodia chiusa, ma se l’attacco è stato portato a termine in precedenza, vi è la possibilità che l’utente sia tracciato da Find Hub (sempre che l’accessorio sia acceso e compatibile con Google Fast Pair).
Ad essere più esposti, potrebbero essere gli utenti Apple che hanno acquistato un prodotto di terze parti compatibile con Fast Pair, ma che non hanno sincronizzato l’accessorio con un account Google.
Chi ha già sincronizzato il dispositivo con il proprio account Google, eseguito gli aggiornamenti e aggiornata l’app e il firmware dell’accessorio, non ha motivo di preoccuparsi.
