Scopri anche

• Fine supporto Xiaomi: dispositivi senza aggiornamenti di sicurezza dal 2025
• WhisperPair: la vulnerabilità critica negli auricolari Bluetooth che permette tracciamento e intercettazione
• Vulnerabilità WhisperPair negli auricolari Bluetooth: rischi e soluzioni
• Vulnerabilità WinRAR CVE-2025-8088: Rischio Esecuzione Codice e Necessità di Aggiornamento Manuale
• Vulnerabilità Bluetooth: cuffie e dispositivi a rischio spionaggio senza aggiornamenti
• Analisi della vulnerabilità CVE-2026-21509 in Microsoft Office e misure di mitigazione
• Vulnerabilità di sicurezza in Google Gemini: l'analisi tecnica degli attacchi via Calendar
• Sicurezza informatica nel settore sanitario: rischi e protezione dei dispositivi IoT e IoMT
• Google Chrome si rinnova con l'integrazione di Gemini: il browser diventa assistente AI
• Apple rilascia aggiornamenti di sicurezza settembre 2025: patch per Safari e sistemi operativi
• Apple Sceglie Google Gemini per il Nuovo Siri: Analisi della Partnership
• Samsung rilascia aggiornamento sicurezza per Galaxy S10, S20 e S21 nel 2026
• Accordo Apple-Google su Gemini: l'analisi tecnica e le reazioni di Musk
• Pwn2Own Automotive 2026: 37 Zero-Day Scoperti nel Primo Giorno
• Apple conferma: la nuova Siri sarà potenziata da Google Gemini
• Gemini supera ChatGPT: la crisi OpenAI e il cambio di leadership nell'AI generativa
• Aggiornamento iPhone: sicurezza iOS 26 e risoluzione errori
• Samsung aggiorna Galaxy S10, S20 e S21 con nuovo pacchetto sicurezza Google Play System
• Apple AirBorne: vulnerabilità zero-click in AirPlay mette a rischio milioni di dispositivi
• Attacchi Spyware Mercenari su iPhone: Apple Conferma Minacce Globali

Vulnerabilità WhisperPair: il rischio critico per milioni di auricolari Bluetooth

Vulnerabilità WhisperPair: il rischio critico per milioni di auricolari Bluetooth

Una minaccia silenziosa per la privacy audio

⬆ Torna su Un gruppo di ricercatori dell'Università KU Leuven, in Belgio, ha rivelato l'esistenza di una serie di vulnerabilità critiche denominate collettivamente WhisperPair. Queste falle di sicurezza colpiscono il protocollo Google Fast Pair, progettato per semplificare la connessione di auricolari e cuffie ai dispositivi Android. La scoperta getta un'ombra su una funzionalità nata per migliorare l'esperienza utente, trasformandola in un potenziale veicolo per attacchi informatici. I ricercatori hanno identificato la vulnerabilità con il codice CVE-2025-36911, classificato come critico da Google stesso.

Il meccanismo tecnico della vulnerabilità

⬆ Torna su Il cuore del problema risiede nel protocollo Google Fast Pair Service (GFPS), utilizzato da centinaia di milioni di dispositivi per facilitare l'accoppiamento tramite Bluetooth Low Energy (BLE). La specifica tecnica di Fast Pair prevede un controllo fondamentale: gli accessori dovrebbero ignorare le richieste di accoppiamento se non si trovano esplicitamente in "pairing mode". Tuttavia, i ricercatori hanno scoperto che numerosi dispositivi non applicano questa verifica di sicurezza. L'implementazione errata del protocollo in diversi chipset permette a un malintenzionato di forzare una connessione Fast Pair anche quando gli auricolari sono già in uso o non sono in modalità di accoppiamento.

Le conseguenze concrete per gli utenti

⬆ Torna su Un attaccante dotato di un semplice computer portatile o dispositivo apposito può stabilire un collegamento non autorizzato in pochi secondi. I test dei ricercatori hanno dimostrato che l'exploit funziona fino a 14 metri di distanza tra aggressore e vittima, senza richiedere alcuna interazione da parte dell'utente. Una volta stabilita la connessione, l'attaccante ottiene il controllo completo dell'accessorio. Le possibilità includono la riproduzione di audio a volumi elevati direttamente negli auricolari della vittima e, scenario più grave, l'attivazione del microfono integrato per intercettare conversazioni private e ambientali.

Il rischio di tracciamento fisico

⬆ Torna su Se un aggressore riesce ad accoppiarsi per primo con un accessorio vulnerabile che non è mai stato registrato su un account Google, può registrare il proprio account come "proprietario" legittimo dell'hardware. Questo meccanismo tecnico si basa sulla gestione dell'Account Key, che designa il dispositivo proprietario. In questo scenario, l'accessorio diventa a tutti gli effetti un dispositivo di tracciamento. Sfruttando la vasta rete di localizzazione Find Hub di Google, il malintenzionato può seguire gli spostamenti della vittima in tempo reale.

La sfida della mitigazione

⬆ Torna su La risoluzione del problema presenta difficoltà significative. A differenza degli aggiornamenti del sistema operativo dello smartphone, che avvengono centralmente, la correzione per WhisperPair richiede spesso un aggiornamento del firmware specifico dell'accessorio audio. Questo significa che l'utente deve scaricare l'applicazione proprietaria del produttore delle cuffie e installare manualmente l'update, una procedura che molti consumatori ignorano o trascurano. La frammentazione del mercato IoT rende difficile garantire che tutti i dispositivi vengano messi in sicurezza tempestivamente.

L'estensione del problema

⬆ Torna su I ricercatori hanno testato 25 dispositivi commerciali di 16 produttori diversi, scoprendo che il 68% di essi era vulnerabile all'attacco. Tra i marchi coinvolti figurano Sony, JBL, Jabra, Marshall, Xiaomi, Nothing, OnePlus, Soundcore, Logitech e la stessa Google. La vulnerabilità interessa chipset di Actions, Airoha, Bestechnic, MediaTek, Qualcomm e Realtek. Il fatto che la falla abbia superato sia i test di qualità interni dei produttori sia il processo di certificazione ufficiale di Google evidenzia un problema sistemico nella catena di validazione.

La risposta di Google e dei produttori

⬆ Torna su Google ha classificato la vulnerabilità come critica e ha assegnato una ricompensa di 15.000 dollari per la scoperta. Nella finestra di 150 giorni successiva alla condivisione della scoperta, avvenuta nell'agosto 2025, Google ha collaborato con i produttori interessati per realizzare patch correttive. Tuttavia, i ricercatori hanno dimostrato come alcune patch iniziali fossero aggirabili in poche ore. Al momento non tutti i dispositivi interessati dispongono di aggiornamenti firmware disponibili.

Considerazioni per gli utenti iOS

⬆ Torna su Anche gli utenti di iPhone e dispositivi iOS che possiedono auricolari vulnerabili sono esposti al rischio. Disabilitare la funzione Fast Pair sul telefono non ha alcun effetto poiché la vulnerabilità è a carico dell'accessorio Bluetooth stesso. L'unica soluzione efficace rimane l'aggiornamento del firmware dell'accessorio, non appena disponibile tramite le applicazioni ufficiali dei produttori.

Questo articolo è stato redatto esclusivamente sulla base delle fonti elencate, senza aggiunte speculative o informazioni esterne.

Fonti

⬆ Torna su

• https://gizchina.it/2026/01/vulnerabilita-google-fast-pair-whisperpair-cos-e-come-funziona/
• https://www.dday.it/redazione/56000/milioni-di-auricolari-bluetooth-hanno-una-falla-gravissima-e-possono-essere-intercettati
• https://www.hwupgrade.it/news/sicurezza-software/auricolari-bluetooth-a-rischio-la-falla-whisperpair-permette-di-ascoltare-comunicazioni-e-tracciare-l-utente_148725.html