Come funziona WhisperPair, la falla che permette di spiare gli auricolari

La scoperta di WhisperPair, una vulnerabilità che colpisce auricolari Bluetooth di diversi marchi, minaccia un gran numero di utenti e ci ricorda un aspetto spesso trascurato: la sicurezza degli accessori che usiamo ogni giorno.

Dei ricercatori dell’Università di Lovanio, in Belgio, hanno infatti analizzato il meccanismo di accoppiamento e hanno rilevato una falla che consente a un estraneo di prendere il controllo dell’accessorio nel giro di pochi secondi.

Vuoi ascoltare il riassunto dell’articolo?

Ascolta su Spreaker.

La vulnerabilità riguarda prodotti che utilizzano Google Fast Pair, il sistema che facilita l’associazione tramite Bluetooth Low Energy. Il meccanismo riconosce automaticamente gli accessori compatibili e li collega all’account Google dell’utente.

Il problema emerge quando l’auricolare non verifica se la richiesta di sincronizzazione arriva in modalità accoppiamento. Molti modelli non eseguono il controllo o lo eseguono in modo incompleto, lasciando spazio a dispositivi non autorizzati.

In questa situazione un attaccante può associare gli auricolari al proprio dispositivo, come un laptop, senza alcuna conferma da parte del proprietario degli auricolai.

L’accessorio risponde alla richiesta e completa il collegamento, mentre il legittimo proprietario perde il controllo senza accorgersene.

Una volta ottenuto l’accesso, l’attaccante può riprodurre audio, modificare il volume o attivare il microfono sui modelli che lo consentono. L’unico vincolo è restare entro circa 14 metri dalla vittima.

La falla non si limita al controllo dell’auricolare. Alcuni modelli integrati con Find Hub di Google diventano un potenziale strumento di localizzazione. Se un accessorio non è ancora collegato a un dispositivo Android, un attaccante può associarlo al proprio account e sfruttare le segnalazioni dei dispositivi nelle vicinanze per seguirne gli spostamenti.

Le notifiche di tracciamento indesiderato non offrono una protezione immediata. Il sistema avvisa della presenza di un dispositivo estraneo, ma attribuisce la segnalazione allo stesso accessorio della vittima, creando una situazione facilmente fraintendibile (per quanto siamo un po’ nel campo dei casi limite).

Secondo i ricercatori, la presenza della vulnerabilità in prodotti certificati suggerisce un errore sistemico nel processo di controllo di Google Fast Pair, che non ha individuato la debolezza né in fase di implementazione né di convalida.

Il problema è noto dall’agosto 2025, quando Google ha classificato il caso come criticità CVE-2025-36911, ma i dubbi sull’efficacia degli aggiornamenti pubblicati restano aperti.

Diversi produttori hanno distribuito un aggiornamento software, anche se non tutti i dispositivi vulnerabili risultano già coperti. Tra i marchi coinvolti figurano Sony, Jabra, JBL, Marshall, Xiaomi, Nothing, OnePlus, Soundcore, Logitech e Google.

L’attacco presenta comunque limiti precisi: richiede prossimità e deve concludersi in tempi rapidi. Gli accessori più recenti prevedono tasti fisici per attivare la modalità pairing, spesso accessibili solo quando gli auricolari si trovano nella custodia, condizione che rende difficile intervenire senza essere notati.

Molte applicazioni dedicate mostrano inoltre i dispositivi attualmente collegati all’accessorio, un controllo utile per individuare comportamenti sospetti.

I prodotti di uno stesso marchio possono accoppiarsi quasi istantaneamente anche senza Fast Pair, ma l’attacco non può riuscire quando gli auricolari sono nella custodia chiusa.

Se tuttavia l’associazione illecita è avvenuta in precedenza, resta possibile tracciare l’accessorio tramite Find Hub, purché acceso e compatibile.

Si espongono maggiormente gli utenti Apple che utilizzano accessori compatibili con Fast Pair senza averli collegati a un account Google. Chi invece ha già sincronizzato l’auricolare, aggiornato l’app e installato il firmware più recente non corre ulteriori rischi.

Attenzione quindi nell’affidarsi a procedure automatiche dando per scontato che funzionino sempre correttamente, quando invece anche un passaggio mancante può trasformarsi in un’occasione per chi cerca di approfittarsene. Del resto sono spesso proprio le abitudini che celano le maggiori insidie, perché è lì che la nostra soglia di attenzione è più bassa.