Un nuovo allarme sicurezza riguarda il mondo degli accessori audio Bluetooth: centinaia di milioni di auricolari, cuffie e speaker wireless sono affetti da una vulnerabilità gravissima che potrebbe permettere a un attaccante di intercettare, controllare e persino spiare l’utente senza che questo se ne accorga
La falla, chiamata “WhisperPair”
Il problema risiede nel sistema di connessione rapida Google Fast Pair, progettato per semplificare l’abbinamento Bluetooth tra dispositivi. Secondo i ricercatori del gruppo di sicurezza informatica COSIC dell’Università di KU Leuven in Belgio, numerosi produttori non rispettano correttamente le specifiche tecniche del protocollo. In pratica, gli accessori non verificano se sono in modalità di accoppiamento prima di consentire nuove connessioni, permettendo a un aggressore vicino (entro ~10–15 metri) di forzare un pairing e prendere il controllo del dispositivo.
Cosa può fare un attaccante
Una volta riuscito a collegarsi all’auricolare o alle cuffie della vittima, l’aggressore potrebbe:
- Riprodurre suoni o audio indesiderati a volume alto;
- Attivare il microfono dell’accessorio per registrare conversazioni;
- In alcuni casi collegare l’accessorio al proprio account Google e tracciarne la posizione tramite la rete “Find Hub”.
Il tutto senza alcuna interazione da parte dell’utente, e senza che questo lo noti fintantoché non si interrompe l’audio in uso.
I dispositivi coinvolti
La vulnerabilità è così diffusa perché interessa molti modelli di fascia alta e di produttori noti. Tra i dispositivi testati e risultati vulnerabili ci sono prodotti di:
- Sony
- Jabra
- JBL
- Xiaomi
- Nothing
- Anker / Soundcore
- OnePlus
- Logitech
- Google stesso
Questi risultati sottolineano quanto possa diventare pervasivo un problema che colpisce sia utenti Android che iPhone (perché il bug risiede nel modo in cui gli accessori implementano Fast Pair, non nel sistema operativo).
Un problema di certificazione e sicurezza
La scoperta di WhisperPair ha messo in evidenza una lacuna nei processi di sviluppo, controllo qualità e certificazione dei dispositivi Bluetooth. Molti accessori vulnerabili avevano infatti superato i test interni e le certificazioni ufficiali, inclusi quelli di Google, senza che la falla fosse individuata.
La risposta dei produttori e cosa fare
Diverse aziende hanno iniziato a rilasciare aggiornamenti firmware per correggere la vulnerabilità, e Google ha promesso patch e requisiti di certificazione più severi. Comunque, l’efficacia di questi aggiornamenti dipende dall’adozione da parte degli utenti — e spesso gli auricolari vengono raramente aggiornati, perché molti utenti non sanno nemmeno che tali aggiornamenti esistano.
Consigli pratici per gli utenti:
- Verificare se esistono aggiornamenti firmware per i propri accessori (tramite l’app del produttore);
- Disattivare il Bluetooth quando non in uso;
- Evitare di usare dispositivi vulnerabili in ambienti pubblici o sensibili fino alla patch definitiva.
