Bluetooth e compromesso: la vulnerabilità WhisperPair espone milioni di utenti alle intercettazioni

Doveva essere tutto fluido: apri gli auricolari, tocchi per connetterti e ti godi l’ascolto. Ma dietro la semplicità dell’abbinamento Bluetooth si nasconde un pericolo ora messo a nudo dal rilascio di WPair Scanner, un toolkit Android che sta puntando una luce impietosa su un enorme buco di sicurezza - capace di permettere a sconosciuti di ascoltare di nascosto, tracciare gli spostamenti e dirottare le cuffie senza un solo prompt o avviso.

Dentro la violazione Bluetooth

La vulnerabilità, soprannominata “WhisperPair”, è un errore crittografico nel protocollo Bluetooth Fast Pair di Google, ora tracciato come CVE-2025-36911. Scoperta dai team di sicurezza della KU Leuven, la falla deriva dall’assenza di controlli sulle firme digitali e dalla mancanza di conferma dell’utente durante l’associazione del dispositivo. Questo significa che gli attaccanti possono connettersi silenziosamente a cuffie, auricolari e speaker - niente password, niente pop-up, nessun avviso.

WPair Scanner, rilasciato da ricercatori di sicurezza indipendenti, porta questa minaccia fuori dal laboratorio e sugli smartphone di chiunque abbia Android 8 o superiore. Il toolkit è solido: può scansionare alla ricerca di dispositivi non patchati, testare le vulnerabilità senza effettuare l’associazione e, per ricercatori autorizzati, dimostrare lo sfruttamento completo - compreso il dirottamento del microfono del dispositivo e la registrazione dell’audio in tempo reale.

La catena di exploit è inquietantemente semplice. Un attaccante scansiona i dispositivi che trasmettono lo speciale segnale Fast Pair (l’UUID 0xFE2C), aggira l’associazione basata su chiavi deboli e crea un legame Bluetooth permanente. Da lì, l’attaccante non solo ottiene accesso al profilo Hands-Free - trasformando le cuffie in dispositivi di intercettazione - ma può anche scrivere Account Key persistenti. Questo consente il tracciamento a lungo termine tramite la Find Hub Network di Google, evocando lo spettro di sorveglianza su larga scala e stalking.

Ciò che distingue WhisperPair dai classici hack Bluetooth è la sua portata: gli attaccanti non devono essere presenti durante l’associazione iniziale e possono compromettere dispositivi già configurati. La falla interessa un’ampia gamma di produttori, con diversi marchi di fascia alta già confermati come vulnerabili.

È importante sottolineare che i creatori di WPair Scanner hanno adottato misure per prevenire abusi, escludendo deliberatamente le capacità di tracciamento completo per evitare di trasformare lo strumento in stalkerware. La loro divulgazione responsabile evidenzia l’urgenza per i produttori di rilasciare patch firmware, aggiungendo la verifica delle firme e un consenso esplicito dell’utente al processo di associazione.

Per gli utenti comuni, il consiglio è chiaro: mantenere aggiornati i dispositivi Bluetooth, controllare gli avvisi di sicurezza e diffidare dell’hardware non patchato. Man mano che cresce la comodità del wireless, aumentano anche i rischi che si annidano nelle onde radio invisibili.

Conclusione

La vicenda WhisperPair è un promemoria netto: la comodità spesso ha un prezzo. Mentre milioni di utenti Bluetooth affrontano la loro giornata, pochi si rendono conto che le loro cuffie potrebbero essere l’anello debole della sicurezza personale. Con strumenti come WPair Scanner ormai in circolazione, la pressione aumenta su produttori e utenti affinché chiudano le falle - prima che i nostri momenti più privati diventino la sessione d’ascolto di qualcun altro.

WIKICROOK

• Fast Pair: Fast Pair è il protocollo di Google per un abbinamento Bluetooth rapido e sicuro tra dispositivi Android e accessori, riducendo i passaggi per l’utente e migliorando la sicurezza.
• BLE (Bluetooth Low Energy): BLE consente uno scambio di dati wireless sicuro e a basso consumo tra dispositivi, comunemente usato in IoT, wearable e applicazioni per la smart home.
• Account Key: Un account key è una chiave crittografica che vincola un dispositivo o un accessorio a un account utente, migliorando autenticazione e sicurezza.
• Authentication Bypass: L’aggiramento dell’autenticazione è una vulnerabilità che permette agli attaccanti di saltare o ingannare il processo di login, ottenendo accesso ai sistemi senza credenziali valide.
• Firmware Update: Un aggiornamento firmware è un software fornito dal produttore che corregge bug, chiude falle di sicurezza e migliora le funzioni principali dei dispositivi elettronici.