Una serie di vulnerabilità, denominate WhisperPair, sono state scoperte nel protocollo Fast Pair e Google, esponendo milioni di cuffie e altoparlanti wireless di marca a significativi rischi per la sicurezza e la privacy. La falla consente agli aggressori di connettersi segretamente ai dispositivi in pochi secondi, anche se sono già associati allo smartphone dell’utente, aprendo la porta allo spionaggio e al rilevamento della posizione.
La ricerca, condotta da esperti di Universidade KU Leuven, presso Bélgica, ha rivelato che il problema risiede nell’errata implementazione del protocollo da parte di diversi produttori. L’Fast Pair, progettato per semplificare e velocizzare la connessione degli accessori Bluetooth con i dispositivi Android, è paradossalmente diventato un vettore di attacco che può essere sfruttato da chiunque si trovi nelle vicinanze.
L’attacco può essere effettuato senza alcuna interazione visibile o notifica di avvertimento alla vittima, il che lo rende particolarmente pericoloso nei luoghi pubblici. La connessione forzata consente all’aggressore di assumere il controllo delle funzionalità critiche dell’accessorio, compromettendo direttamente la sicurezza dell’utente.
Come funziona la vulnerabilità WhisperPair
Il protocollo Fast Pair è stato creato da Google per facilitare l’abbinamento degli accessori Bluetooth. Quando avvicini un auricolare compatibile a un cellulare Android, il sistema visualizza una notifica che consente la connessione con un solo tocco, eliminando la necessità di ricerche manuali nelle impostazioni di Bluetooth. Tuttavia, il difetto WhisperPair sfrutta una lacuna in questo processo di comunicazione.
Un aggressore nelle vicinanze può utilizzare apparecchiature specifiche per intercettare e manipolare i segnali di trasmissione, forzando una connessione con l’accessorio della vittima. Testes effettuato dai ricercatori ha dimostrato che il dirottamento del dispositivo avviene in meno di 15 secondi entro il raggio standard dell’Bluetooth, che può raggiungere circa 15 metri in condizioni ideali, senza barriere fisiche.
Marchi e modelli colpiti dal fallimento
L’indagine ha confermato che diverse aziende leader di mercato hanno prodotti vulnerabili alla falla WhisperPair. Entre I principali marchi interessati sono Sony, JBL, Anker (tramite la sua linea Soundcore), Google, Jabra e Marshall. La portata del problema evidenzia una falla sistemica che colpisce diverse implementazioni di chipset, anche su dispositivi certificati da Google.
L’elenco dei modelli specifici include linee popolari di cuffie in-ear e over-ear. Le serie confermate Exemplos includono serie commerciali di grande successo come la linea WH-1000XM di Sony e le cuffie Liberty di Soundcore, così come altri dispositivi come Google Pixel Buds Pro 2, JBL Tune Beam. L’elenco completo comprende almeno 17 modelli testati di dieci diversi produttori.
È importante notare che anche altri accessori che supportano Fast Pair potrebbero essere vulnerabili, anche se non sono stati testati esplicitamente. La raccomandazione degli esperti è che gli utenti controllino lo stato individuale di ciascun prodotto in loro possesso, chiedendo informazioni direttamente ai produttori sull’applicazione delle correzioni di sicurezza.
Rischi per la privacy degli utenti
Una volta stabilita la connessione dannosa, l’aggressore acquisisce il controllo sulle funzioni essenziali del dispositivo, ponendo una seria minaccia alla privacy. Il rischio principale è l’accesso al microfono, che può essere utilizzato per ascoltare conversazioni nell’ambiente o intercettare telefonate all’insaputa della vittima. La funzionalità Essa trasforma un semplice auricolare in uno strumento di spionaggio.
Oltre a intercettare, l’aggressore può iniettare audio negli altoparlanti a qualsiasi volume. L’azione Essa consente la riproduzione di suoni indesiderati, l’interruzione dell’audio in corso o addirittura la trasmissione di informazioni errate direttamente nell’orecchio dell’utente. Il controllo sull’audio può essere utilizzato per causare distrazione, interruzioni o per scopi più dannosi.
Nei casi più gravi, la vulnerabilità consente il tracciamento preciso della posizione dell’utente. Dispositivos compatibile con la rete “Trova Meu Dispositivo” di Google può essere collegato all’account dell’aggressore. Isso permette di monitorare continuamente la posizione dell’accessorio e di conseguenza di chi lo indossa.
Il tracciamento funziona in modo persistente, anche se l’utente principale utilizza un iPhone dopo il dirottamento iniziale delle cuffie. La posizione viene ottenuta tramite connessioni anonime ai dispositivi Android vicini che fanno parte della rete di localizzazione Google, creando un sistema di sorveglianza difficile da rilevare e disattivare.
Risposta dei produttori e aggiornamenti disponibili
Dopo la divulgazione responsabile del difetto da parte dei ricercatori, diverse aziende hanno iniziato a distribuire correzioni tramite aggiornamenti del firmware. Il processo Esse richiede solitamente che l’utente installi manualmente la nuova versione del software tramite le applicazioni dedicate di ciascun marchio. JBL, ad esempio, ha iniziato a inviare aggiornamenti via etere (OTA) per i modelli interessati e gli utenti devono accedere all’app ufficiale del marchio per verificare la disponibilità e installare la correzione.
Anker sta inoltre sviluppando patch per la sua linea Soundcore, con distribuzione pianificata tramite la sua applicazione. Logitech, a sua volta, ha integrato le correzioni direttamente nelle future unità di produzione dei suoi dispositivi. Google ha applicato mitigazioni ai propri prodotti e alla rete “Find Meu Dispositivo”, sebbene i ricercatori abbiano identificato scenari specifici in cui alcune di queste protezioni possono ancora essere aggirate. I marchi Outras, come Sony, Nothing e OnePlus, stanno indagando sul problema e nelle prossime settimane sono attesi nuovi aggiornamenti per proteggere completamente i propri clienti.
Misure di tutela dei consumatori
Para proteggiti, la raccomandazione principale è mantenere sempre aggiornato il firmware dei dispositivi. Gli utenti dovrebbero scaricare l’app ufficiale dal produttore delle cuffie o degli altoparlanti e verificare regolarmente se sono disponibili nuove versioni del software per l’installazione. Esta è il modo più efficace per garantire che vengano applicate le correzioni di sicurezza. Per coloro che vogliono verificare se il loro modello specifico è nell’elenco dei vulnerabili, i ricercatori hanno creato siti Web dedicati con informazioni dettagliate in cui è possibile effettuare ricerche per produttore e nome del prodotto. Caso non è disponibile un aggiornamento immediato, una misura temporanea consiste nell’eseguire un ripristino delle impostazioni di fabbrica dell’accessorio. Embora questa azione rimuove gli accoppiamenti esistenti, non elimina permanentemente la vulnerabilità. Como Non è possibile disabilitare la funzione Fast Pair direttamente sul sistema Android, un’ulteriore precauzione è quella di tenere spento Bluetooth nei luoghi pubblici ogni volta che non è in uso, riducendo la superficie di attacco. Si consiglia inoltre di evitare di lasciare l’accessorio in modalità di associazione visibile per lunghi periodi e di monitorare eventuali notifiche strane di associazione sul proprio cellulare.
Scenario attuale di sfruttamento dei difetti
Ad oggi, non ci sono prove confermate che la vulnerabilità WhisperPair sia stata sfruttata da criminali in attacchi reali al di fuori di ambienti di ricerca controllati. La divulgazione coordinata tra ricercatori e aziende ha consentito lo sviluppo di soluzioni prima che la falla potesse essere utilizzata su larga scala, riducendo al minimo il rischio immediato per il grande pubblico.