Fonte: Pexels
Quando ti parlano di privacy digitale, pensi subito a password complicate, backup criptati e firewall invincibili. Ma mai avresti immaginato che il tradimento potesse arrivare… dalle tue orecchie. Un’indagine del team tedesco di cybersecurity ERNW ha scoperchiato una falla potenzialmente esplosiva nei chip Bluetooth Airoha, presenti in moltissimi modelli di auricolari true wireless. E non parliamo di marchi sconosciuti: in lista compaiono nomi come Sony, Bose, JBL e Marshall.
Il problema è serio, anche se il colpevole non è un errore umano, ma un protocollo di debug lasciato aperto come una porta girevole. I chip Airoha, usati da milioni di dispositivi in tutto il mondo, hanno un canale di comunicazione interno esposto tramite Bluetooth Low Energy e Bluetooth Classic. Peccato che a nessuno sia venuto in mente di proteggerlo con una password, una chiave o almeno un cartello con scritto “vietato entrare”.
Così, chiunque si trovi nei paraggi può leggere la memoria delle cuffie, estrarre dati sensibili come la rubrica telefonica o i registri delle chiamate, sapere che canzone stai ascoltando o peggio ancora, far partire chiamate dal tuo telefono mentre tu pensi di star ascoltando musica. Altro che multitasking. E sì, si può persino simulare la tua voce tramite comandi vocali o deviare l’audio del microfono verso dispositivi bluetooth malevoli. Una specie di intercettazione da centro commerciale.
Gli auricolari, insomma, diventano strumenti perfetti per una spia dilettante con qualche conoscenza informatica. Non servono hacker geniali: il codice per sfruttare la vulnerabilità si scrive in pochi minuti, visto che gli SDK sono pubblici e il protocollo incriminato è lì, alla luce del sole, senza nemmeno un minimo di autentificazione.
Secondo ERNW, i modelli coinvolti sono molti e di fascia anche alta. Si va dalle Sony WH-1000XM4/5/6 alle WF-1000XM3/4/5, passando per i LinkBuds S, gli ULT Wear e modelli come CH-720N e XB910N. In casa Bose, le QuietComfort non sono state risparmiate, e nemmeno le Marshall ACTON III, MAJOR V e MINOR IV. E questi sono solo quelli identificati: la lista completa è più lunga della playlist di una domenica di pioggia.
La falla è stata segnalata ad Airoha il 25 marzo, ma l’azienda ha risposto solo dopo due mesi. Il 4 giugno ha rilasciato SDK aggiornati, ma al 30 giugno quasi nessun produttore aveva distribuito un aggiornamento firmware. Il motivo? Gli aggiornamenti arrivano solo tramite app mobile, che in pochi installano e ancora meno aprono. E non tutti i modelli, specialmente quelli più vecchi o economici, ricevono aggiornamenti.
Leggi anche: Gli auricolari che non trasmettono musica ma scaldano l’interno delle orecchie [+VIDEO]
Nel frattempo, milioni di auricolari potenzialmente vulnerabili restano in giro, appesi alle orecchie o dimenticati in qualche tasca, mentre il loro chip ascolta silenziosamente tutto. La tua voce, le chiamate, persino la tua rubrica. Altro che assistente vocale: questa è una vera e propria linea diretta per chi sa dove collegarsi. In un mondo dove ogni dispositivo diventa smart, anche le cuffie ci mettono del loro. Solo che stavolta l’intelligenza sembra aver saltato un passaggio: la sicurezza. La prossima volta che accendi le tue cuffie Bluetooth, ricordati che a volte il silenzio è d’oro. Soprattutto se c’è qualcuno che potrebbe ascoltare.
Share