WhisperPair: milioni di auricolari e cuffie Bluetooth esposti a intercettazione

Un numero enorme di auricolari e cuffie Bluetooth in tutto il mondo è soggetto a spionaggio, monitoraggio e intercettazione delle conversazioni a causa di una vulnerabilità denominata “WhisperPair”. Un team di ricercatori dell’Università KU Leuven, un prestigioso istituto delle Fiandre, ha identificato questo difetto nel Fast Pair di Google, la funzione che facilita il rapido abbinamento degli accessori Bluetooth con dispositivi Android. È importante notare che per gli utenti iPhone la funzione è disabilitata, ma rimane attiva, esponendo anche i possessori di iPhone a potenziali rischi.

Come da prassi, gli esperti hanno immediatamente segnalato il problema critico: Google ha ricevuto la comunicazione nell’agosto scorso. Prima di rendere pubblica la questione, viene previsto un periodo di attesa di 150 giorni, per permettere alle parti interessate di rilasciare una patch e risolvere il problema. Tuttavia, la questione è stata in parte trascurata e ora che è possibile discutere del problema, è necessario agire rapidamente, poiché molti utenti non sono stati informati della necessità di aggiornare i propri accessori. Il punto cruciale è che alcuni produttori offrono interfacce che consentono aggiornamenti automatici, altri solo un’opzione manuale tramite app, e altri ancora richiedono procedure più complesse.

Il gruppo Computer Security and Industrial Cryptography dell’ateneo belga ha quindi creato una pagina web dedicata, che offre supporto sia agli esperti di cybersicurezza che agli utenti.

Cosa fa esattamente WhisperPair?

La vulnerabilità CVE-2025-36911, conosciuta come WhisperPair, permette a potenziali aggressori di collegare (in circa 10 secondi) un proprio dispositivo a cuffie e auricolari wireless di altri senza che il legittimo proprietario se ne accorga. Questa operazione è ovviamente possibile solo a una distanza ragionevole, quindi non oltre 14 metri. Una volta raggiunto l’obiettivo, l’hacker (black-hat) può non solo controllare l’accessorio, ma anche registrare le conversazioni. In alcune situazioni, se i dispositivi supportano la tecnologia Find Hub di Google – “trova il mio dispositivo” – è possibile anche monitorare i movimenti.

Il mio dispositivo è vulnerabile a WhisperPair?

Per verificare se i propri auricolari o cuffie presentano questa vulnerabilità, è sufficiente visitare la pagina https://whisperpair.eu, cliccare sul pulsante “Is my device vulnerable?” presente in home page e scorrere la lista degli ultimi modelli o digitare il nome del proprio dispositivo nella barra di ricerca e premere invio. Attualmente, risultano decine di modelli di vari produttori, tra cui Sony, Jabra, Xiaomi, Nothing e OnePlus, ma l’elenco è in continuo aggiornamento. Si consiglia sempre di procedere con l’aggiornamento del firmware dell’accessorio e del proprio smartphone.

E per il mondo Apple? Il team di Leuven sostiene che la funzionalità Fast Pair degli accessori non può essere disattivata, quindi anche gli utenti al di fuori dell’ecosistema Android “sono vulnerabili a WhisperPair”. Purtroppo, al momento non ci sono ulteriori dettagli su questo aspetto.

Un errore sistemico

Gli esperti affermano che quanto accaduto con WhisperPair non rappresenta un problema isolato. Infatti, un mese prima della loro scoperta, è emersa una vulnerabilità simile riguardante le linee di chip (in realtà SoC, system-on-chip) dell’azienda Airoha integrate in cuffie e auricolari. La questione fondamentale è che tutti i dispositivi vulnerabili hanno superato sia i test di garanzia della qualità dei produttori, sia il processo di certificazione di Google. Si tratta quindi di “un errore sistemico piuttosto che di un errore di un singolo sviluppatore […] poiché la vulnerabilità non è stata rilevata a tutti e tre i livelli: implementazione, convalida e certificazione”.

L’unico modo per prevenire criticità simili in futuro sarebbe quello di garantire un passaggio cruciale nel processo di accoppiamento, vale a dire il meccanismo di autorizzazione. Gli accessori dovrebbero sempre ignorare le richieste di associazione, a meno che non si tratti di casi specifici.

Molti fornitori non hanno implementato questo controllo.

“Invece di affidarci a un controllo dello stato a livello applicativo, proponiamo di incorporare il predicato nella derivazione della chiave. Seguiamo il principio secondo cui se un problema può essere risolto in alto, dovrebbe essere risolto in alto”, concludono gli specialisti del Belgio.