Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
I ricercatori del team di Sicurezza Informatica e Crittografia Industriale della KU Leuven hanno scoperto una falla critica nel protocollo Google Fast Pair. La vulnerabilità consente agli aggressori di dirottare il controllo di milioni di dispositivi Bluetooth, tracciare la posizione degli utenti e intercettare le conversazioni.
Il problema, identificato come CVE-2025-36911 e denominato WhisperPair, ed interessa centinaia di milioni di cuffie e altoparlanti wireless di vari produttori che supportano Fast Pair. La vulnerabilità riguarda gli accessori stessi, non gli smartphone, il che significa che non solo i possessori di dispositivi Android, ma anche i possessori di iPhone sono vulnerabili a questa minaccia.
La radice del problema risiede nell’implementazione errata del protocollo Fast Pair in molti dispositivi. Le specifiche di Google richiedono ai dispositivi Bluetooth di ignorare le richieste di accoppiamento quando non sono in modalità di accoppiamento. Tuttavia, molti produttori non hanno implementato questo meccanismo nei loro prodotti, consentendo a dispositivi di terze parti di avviare l’accoppiamento senza il consenso o la conoscenza del proprietario.
“Per avviare la procedura di Fast Pair, il Seeker (telefono) invia un messaggio al Provider (accessorio) per comunicare che desidera effettuare l’accoppiamento. Secondo le specifiche, se il dispositivo non è in modalità di accoppiamento, dovrebbe ignorare tali richieste”, spiegano i ricercatori. “Tuttavia, nella pratica, molti dispositivi non forniscono questo controllo, consentendo a dispositivi non autorizzati di avviare il processo di accoppiamento. Dopo aver ricevuto una risposta da un dispositivo vulnerabile, l’aggressore completa la procedura di Fast Pair con un normale accoppiamento Bluetooth”.
L’attacco WhisperPair può essere sfruttato da qualsiasi dispositivo Bluetooth: un laptop, un Raspberry Pi o persino uno smartphone. L’attaccante forza l’associazione con accessori vulnerabili di Google, Jabra, JBL, Logitech, Marshall, Nothing, OnePlus, Sony, Soundcore e Xiaomi a una distanza massima di 14 metri. Non è richiesta alcuna interazione da parte dell’utente o accesso fisico.
Una volta associato, l’aggressore ottiene il pieno controllo del dispositivo audio e può alzarne il volume al massimo o utilizzare il microfono per intercettare le conversazioni. Inoltre, la vulnerabilità CVE-2025-36911 consente di tracciare la posizione della vittima tramite la rete Find Hub. Se l’accessorio non è mai stato connesso al dispositivo Android, può essere aggiunto all’account dell’aggressore.
“La vittima potrebbe ricevere una notifica di tracciamento indesiderato ore o giorni dopo, ma questa mostrerà il suo dispositivo”, scrivono i ricercatori. “Gli utenti potrebbero scambiarla per un errore e ignorarla, dando all’aggressore l’opportunità di continuare a tracciare per un periodo di tempo prolungato”.
Google ha pagato la ricompensa massima di 15.000 dollari ai ricercatori che hanno scoperto questa vulnerabilità. Google ha collaborato con i produttori di dispositivi per sviluppare patch, ma queste non sono ancora disponibili per tutti i dispositivi vulnerabili.
L’unica difesa contro gli attacchi ai dispositivi Fast Pair è l’installazione del firmware aggiornato fornito dal produttore. Anche disabilitare Fast Pair sugli smartphone Android non risolve il problema, poiché questa funzione non può essere disattivata direttamente dagli accessori.
Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.
Innovazione
Cybercrime
Vulnerabilità
Innovazione
Cyber Italia