Quella che doveva essere una semplice comodità per gli utenti Android si è trasformata in un problema di sicurezza su larga scala, i ricercatori del gruppo COSIC dell’Università KU Leauven hanno infatti scoperto WhisperPair, una vulnerabilità critica nel protocollo Google Fast Pair che espone centinaia di milioni di auricolari, cuffie e speaker Bluetooth a rischi concreti di intercettazione, spionaggio e tracciamento.
La falla, catalogata come CVE-2025-36911, non riguarda lo smartphone, ma gli accessori audio che implementano Fast Pair in modo errato, rendendo inefficaci molte delle precauzioni che gli utenti potrebbero pensare di adottare.
Indice:
Cos’è WhisperPair e perché è così pericolosa
Google Fast Pair è stato progettato per semplificare l’abbinamento degli accessori Bluetooth agli smartphone Android, consentendo una connessione one tap rapida e intuitiva; in teoria, un accessorio dovrebbe ignorare qualsiasi richiesta di pairing quando non è esplicitamente in modalità associazione.
Nella pratica però, molti dispositivi non rispettano questo passaggio fondamentale e WhisperPair sfrutta proprio questa lacuna: un aggressore può forzare l’abbinamento in pochi secondi, utilizzando hardware assolutamente comune, come un laptop o un Raspberry Pi, senza alcuna interazione da parte della vittima e senza accesso fisico all’accessorio.
I test condotti dai ricercatori dimostrano che l’attacco può andare a buon fine in circa 10 secondi, anche a distanze fino a 14 metri.
Segui Google Italia su Telegram, ricevi news e offerte per primo
Controllo totale dell’accessorio e tracciamento della posizione
Una volta completato l’abbinamento forzato, l’aggressore ottiene pieno controllo del dispositivo audio; questo significa che può:
- riprodurre audio a volume massimo
- attivare i microfoni degli auricolari per ascoltare conversazioni ambientali
- interferire con l’utilizzo legittimo del dispositivo
Il tutto avviene in modo silenzioso, senza che l’utente riceva notifiche immediate o segnali evidenti di compromissione.
Lo scenario diventa ancora più critico quando entra in gioco la rete Google Find Hub. Se un accessorio vulnerabile non è mai stato associato a uno smartphone Android, grazie a WhisperPair un aggressore può aggiungerlo al proprio account Google e utilizzarlo per tracciare la posizione della vittima tramite il sistema di segnalazioni crowdsourcing.
Il dettaglio più insidioso è che, quando la vittima riceve una notifica di tracciamento indesiderato, questa mostra il suo dispositivo, inducendo a pensare a un bug o a un falso positivo. Questo può portare l’utente a ignorare l’avviso, permettendo un monitoraggio prolungato nel tempo.
Segui Google Italia su Telegram, ricevi news e offerte per primo
Coinvolti brand e chipset di primo piano
Secondo i ricercatori, WhisperPair non è un caso isolato né un errore di un singolo produttore, la vulnerabilità interessa dispositivi di marchi molto diffusi, tra cui:
- Google (Pixel Buds Pro 2),
- Jabra, JBL, Logitech, Marshall,
- Nothing (Ear a),
- OnePlus (Nord Buds 3 Pro),
- Sony (WH-1000XM4, XM5 e XM6),
- Soundcore e Xiaomi
I dispositivi coinvolti utilizzano chiopset di Actions, Airoha, Bestechnic, MediaTek, Qualcomm e Realtek. Ancora più preoccupante è il fatto che queste implementazioni vulnerabili hanno superato sia i test dei produttori sia la certificazione ufficiale di Google, evidenziando una vera e propria catena di fallimenti nella validazione del protocollo Fast Pair.
Le patch tardano ad arrivare e non è solo un problema Android
La vulnerabilità è stata segnalata a Google nell’agosto 2025, l’azienda l’ha classificata come critica, assegnando ai ricercatori la ricompensa massima di 15.000 dollari e avviando una collaborazione con i produttori durante una finestra di divulgazione responsabile di 150 giorni.
Tuttavia, non tutti i dispositivi hanno già ricevuto gli aggiornamenti firmware correttivi, ed è qui che arriva il punto chiave per gli utenti: disattivare Fast Pair sullo smartphone non serve a nulla, perché la falla risiede esclusivamente nell’accessorio Bluetooth.
Un aspetto spesso sottovalutato è che WhisperPair non colpisce solo gli utenti Android, poiché la vulnerabilità è a carico degli accessori, anche chi utilizza iPhone o altri dispositivi non Android con auricolari compatibili Fast Pair è potenzialmente esposto.
L’unica vera contromisura è quindi aggiornare il firmware dell’accessorio, non appena il produttore rende disponibile la patch.
Come spesso accade in questi casi, gli utenti dovranno pazientare e monitorare attentamente gli aggiornamenti rilasciati dai produttori; nel frattempo, la scoperta di WhisperPair rappresenta un chiaro campanello d’allarme: anche le funzionalità pensate per semplificare l’esperienza d’uso, se implementate male, possono trasformarsi in rischi enormi per sicurezza e privacy.
- Shokz presenta le rivoluzionarie OpenFit Pro, cuffie wireless open-ear con riduzione del rumore
- Disponibili le REDMI Buds 8 Lite, nuove cuffie wireless economiche e pratiche
- OpenAI pronta a entrare nel mercato audio con auricolari dal design mai visto prima
- Un leak svela la colorazione inedita e l’autonomia di Samsung Galaxy Buds 4 Pro
I nostri contenuti da non perdere:
- 🔝 Importante: Recensione Tineco PURE ONE A90S, quando la tecnologia funziona davvero
- 💰 Risparmia sulla tecnologia: segui Prezzi.Tech su Telegram, il miglior canale di offerte
- 🏡 Seguici anche sul canale Telegram Offerte.Casa per sconti su prodotti di largo consumo