WhisperPair: un bug critico mette a rischio milioni di dispositivi Bluetooth

I ricercatori del team di Sicurezza Informatica e Crittografia Industriale della KU Leuven hanno scoperto una falla critica nel protocollo Google Fast Pair. La vulnerabilità consente agli aggressori di dirottare il controllo di milioni di dispositivi Bluetooth, tracciare la posizione degli utenti e intercettare le conversazioni.

Il problema, identificato come CVE-2025-36911 e denominato WhisperPair, ed interessa centinaia di milioni di cuffie e altoparlanti wireless di vari produttori che supportano Fast Pair. La vulnerabilità riguarda gli accessori stessi, non gli smartphone, il che significa che non solo i possessori di dispositivi Android, ma anche i possessori di iPhone sono vulnerabili a questa minaccia.

La radice del problema risiede nell’implementazione errata del protocollo Fast Pair in molti dispositivi. Le specifiche di Google richiedono ai dispositivi Bluetooth di ignorare le richieste di accoppiamento quando non sono in modalità di accoppiamento. Tuttavia, molti produttori non hanno implementato questo meccanismo nei loro prodotti, consentendo a dispositivi di terze parti di avviare l’accoppiamento senza il consenso o la conoscenza del proprietario.

Avvio delle iscrizioni al corso Cyber Offensive Fundamentals Vuoi smettere di guardare tutorial e iniziare a capire davvero come funziona la sicurezza informatica? La base della sicurezza informatica, al di là di norme e tecnologie, ha sempre un unico obiettivo: fermare gli attacchi dei criminali informatici. Pertanto "Pensa come un attaccante, agisci come un difensore". Ti porteremo nel mondo dell'ethical hacking e del penetration test come nessuno ha mai fatto prima. Per informazioni potete accedere alla pagina del corso oppure contattarci tramite WhatsApp al numero 379 163 8765 oppure scrivendoci alla casella di posta [email protected]. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

“Per avviare la procedura di Fast Pair, il Seeker (telefono) invia un messaggio al Provider (accessorio) per comunicare che desidera effettuare l’accoppiamento. Secondo le specifiche, se il dispositivo non è in modalità di accoppiamento, dovrebbe ignorare tali richieste”, spiegano i ricercatori. “Tuttavia, nella pratica, molti dispositivi non forniscono questo controllo, consentendo a dispositivi non autorizzati di avviare il processo di accoppiamento. Dopo aver ricevuto una risposta da un dispositivo vulnerabile, l’aggressore completa la procedura di Fast Pair con un normale accoppiamento Bluetooth”.

L’attacco WhisperPair può essere sfruttato da qualsiasi dispositivo Bluetooth: un laptop, un Raspberry Pi o persino uno smartphone. L’attaccante forza l’associazione con accessori vulnerabili di Google, Jabra, JBL, Logitech, Marshall, Nothing, OnePlus, Sony, Soundcore e Xiaomi a una distanza massima di 14 metri. Non è richiesta alcuna interazione da parte dell’utente o accesso fisico.

Una volta associato, l’aggressore ottiene il pieno controllo del dispositivo audio e può alzarne il volume al massimo o utilizzare il microfono per intercettare le conversazioni. Inoltre, la vulnerabilità CVE-2025-36911 consente di tracciare la posizione della vittima tramite la rete Find Hub. Se l’accessorio non è mai stato connesso al dispositivo Android, può essere aggiunto all’account dell’aggressore.

“La vittima potrebbe ricevere una notifica di tracciamento indesiderato ore o giorni dopo, ma questa mostrerà il suo dispositivo”, scrivono i ricercatori. “Gli utenti potrebbero scambiarla per un errore e ignorarla, dando all’aggressore l’opportunità di continuare a tracciare per un periodo di tempo prolungato”.

Google ha pagato la ricompensa massima di 15.000 dollari ai ricercatori che hanno scoperto questa vulnerabilità. Google ha collaborato con i produttori di dispositivi per sviluppare patch, ma queste non sono ancora disponibili per tutti i dispositivi vulnerabili.

L’unica difesa contro gli attacchi ai dispositivi Fast Pair è l’installazione del firmware aggiornato fornito dal produttore. Anche disabilitare Fast Pair sugli smartphone Android non risolve il problema, poiché questa funzione non può essere disattivata direttamente dagli accessori.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La redazione di Red Hot Cyber è composta da professionisti del settore IT e della sicurezza informatica, affiancati da una rete di fonti qualificate che operano anche in forma riservata. Il team lavora quotidianamente nell’analisi, verifica e pubblicazione di notizie, approfondimenti e segnalazioni su cybersecurity, tecnologia e minacce digitali, con particolare attenzione all’accuratezza delle informazioni e alla tutela delle fonti. Le informazioni pubblicate derivano da attività di ricerca diretta, esperienza sul campo e contributi provenienti da contesti operativi nazionali e internazionali.