Scoperta falla negli auricolari bluetooth: a rischio privacy e conversazioni private

Una recente indagine condotta dai ricercatori dell'Università di Lovanio, in Belgio, ha portato alla luce una vulnerabilità critica battezzata WhisperPair. Il difetto di sicurezza colpisce il protocollo di comunicazione Bluetooth di numerosi accessori audio prodotti da colossi del settore come Google, Sony, Xiaomi, OnePlus e molti altri, mettendo a rischio la privacy e la sicurezza degli utenti.

Powered by

Il cuore del problema risiede nel meccanismo di accoppiamento tra gli auricolari e i dispositivi. Sfruttando la tecnologia Bluetooth Low Energy (BLE), un malintenzionato può intromettersi nel processo di connessione in pochi secondi.

A differenza di quanto dovrebbe accadere in un sistema sicuro, la vulnerabilità WhisperPair permette a un attaccante di associare i propri dispositivi agli auricolari della vittima senza alcuna autorizzazione. Una volta stabilita la connessione, il controllo passa nelle mani dell'hacker che potrebbe registrare le conversazioni catturandole dal microfono integrato degli auricolari, riprodurre audio o rumori a qualsiasi volume direttamente nelle orecchie dell'utente e, se gli auricolari sono compatibili con la rete Find My Device (Find Hub) di Google, localizzare la posizione della vittima in tempo reale.

L'unico vincolo tecnico per l'aggressore è la vicinanza fisica: deve trovarsi entro un raggio di circa 14 metri dalla vittima per avviare l'intrusione.

La falla nasce da una lacuna logica nel protocollo Google Fast Pair. In condizioni normali, un accessorio Bluetooth dovrebbe rispondere a una richiesta di sincronizzazione solo se l'utente ha attivato manualmente la modalità di associazione, il cosiddetto pairing.

Tuttavia, i ricercatori hanno scoperto che molti dispositivi non effettuano questo controllo o lo eseguono in modo errato. Di conseguenza, gli auricolari restano "aperti" a richieste di connessione esterne anche durante l'uso quotidiano, permettendo a un dispositivo non autorizzato di completare l'accoppiamento all'insaputa del proprietario.

Gli esperti sottolineano che WhisperPair non è il risultato dell'errore di un singolo produttore, ma un fallimento sistemico che coinvolge l'intera filiera di Google. Nonostante i dispositivi abbiano superato i test di qualità e ottenuto le certificazioni ufficiali, la vulnerabilità è passata inosservata.

Segnalata ufficialmente nell'agosto del 2025 e classificata con il codice CVE-2025-36911, la falla è considerata critica. Sebbene siano stati rilasciati dei firmware correttivi, i ricercatori dubitano che questi possano risolvere definitivamente il problema su tutti i modelli in circolazione.

Sebbene la lista dei marchi coinvolti sia vasta (includendo anche Jabra, JBL, Marshall, Nothing, Soundcore e Logitech), alcune categorie di utenti sono più esposte. Chi usa auricolari compatibili con Fast Pair su un iPhone, senza averli mai associati a un account Google, è particolarmente vulnerabile. Un attaccante potrebbe appropriarsi del dispositivo lato Google e iniziare a tracciarlo tramite il Find Hub. Un segnale di avvertimento potrebbe essere la ricezione delle notifiche di "tracciamento indesiderato"; spesso, però, queste segnalazioni indicano il nome del proprio dispositivo, portando l'utente a scambiare l'attacco per un banale bug software.

Nonostante la gravità della falla, esistono dei limiti fisici che proteggono l'utente. L'attacco non può essere eseguito se gli auricolari sono riposti all'interno della loro custodia chiusa. Inoltre, la maggior parte delle app proprietarie dei produttori permette di monitorare l'elenco dei dispositivi connessi.