WhisperPair mette in discussione la sicurezza degli accessori wireless più usati
- Una vulnerabilità chiamata WhisperPair colpisce molti auricolari Bluetooth compatibili con Google Fast Pair
- Un attaccante vicino può collegarsi agli auricolari senza consenso e senza avvisi evidenti
- Nei modelli con microfono è possibile ascoltare suoni e conversazioni ambientali
- Il problema riguarda anche la localizzazione tramite Find Hub se le cuffie non sono associate a un account Google
- Aggiornamenti firmware e associazione corretta riducono il rischio, ma non tutte le patch sono definitive
Usiamo gli auricolari Bluetooth con la stessa naturalezza con cui prendiamo le chiavi di casa. Li infiliamo nelle orecchie, premiamo play e ci fidiamo. Proprio questa fiducia, però, è finita sotto la lente dei ricercatori dell’Università di Lovanio, che hanno scoperto una vulnerabilità capace di trasformare un accessorio quotidiano in qualcosa di molto meno innocuo.
La falla si chiama WhisperPair e riguarda il sistema Google Fast Pair, quello che permette allo smartphone di riconoscere le cuffie appena si apre la custodia. Una comodità che, in alcuni casi, diventa un punto debole. Alcuni modelli accettano richieste di connessione anche senza un’azione esplicita dell’utente.
Quando l’accoppiamento rapido diventa un rischio concreto
Il problema è tutto nella fase di pairing. Un malintenzionato che si trovi a breve distanza può associare le tue cuffie al proprio dispositivo in pochi secondi, senza notifiche chiare e senza che tu te ne accorga subito. Non serve hackerare il telefono, basta sfruttare il comportamento degli auricolari.
Una volta stabilita la connessione, l’attaccante può interferire con l’audio e, nei modelli dotati di microfono, ascoltare l’ambiente circostante. Telefonate, conversazioni private, rumori domestici. Nulla di fantascientifico, solo un uso creativo di una funzione pensata per semplificare la vita.
Tracciamento silenzioso e marchi coinvolti
Il rischio non si ferma all’ascolto. Alcuni auricolari compatibili con Fast Pair funzionano anche con Google Find Hub, il sistema di tracciamento per oggetti smarriti. Se le cuffie non sono mai state associate a un account Google, un attaccante può farlo al posto tuo e sfruttare la rete di smartphone Android per ricostruire gli spostamenti della vittima.
La vulnerabilità, segnalata nell’agosto 2025 e classificata come CVE-2025-36911, coinvolge marchi molto diffusi come Sony, JBL, Xiaomi, OnePlus, Logitech e Google. Non riguarda solo Android: anche chi usa iPhone può essere esposto se utilizza auricolari di terze parti compatibili con Fast Pair.
Leggi anche: Gli auricolari che non trasmettono musica ma scaldano l’interno delle orecchie [+VIDEO]
Aggiornamenti, attenzione e niente panico
Alcuni aggiornamenti correttivi sono già disponibili, anche se non tutte le patch sembrano risolutive. I ricercatori consigliano di aggiornare il firmware, usare le app ufficiali dei produttori e verificare le connessioni attive. L’attacco richiede vicinanza fisica e non funziona quando gli auricolari sono chiusi nella custodia. Nessun allarme generalizzato, quindi, ma un promemoria utile: anche gli oggetti più piccoli possono dire molto di noi, soprattutto quando restano sempre accesi.
La redazione di commentimemorabili.it si impegna contro la divulgazione di fake news. La veridicità delle informazioni riportate su commentimemorabili.it viene preventivamente verificata tramite la consultazione di altre fonti.
Questo articolo è stato verificato con:
- https://www.greenme.it/scienza-e-tecnologia/auricolari-bluetooth-attenzione-ricercatori-scoprono-la-falla-che-puo-spiarti-a-tua-insaputa-soprattutto-se-hai-questi-modelli/
- https://whisperpair.eu/
- https://www.kaspersky.it/blog/whisperpair-blueooth-headset-location-tracking/30415/
developed by Digitrend