Bluetooth
Una vulnerabilità scoperta di recente denominata WhisperPair può trasformare cuffie e auricolari Bluetooth di molti marchi noti in beacon di geolocalizzazione, indipendentemente dal fatto che gli accessori siano connessi a un iPhone, uno smartphone Android o un laptop. Anche se la tecnologia alla base di questo difetto trae origine da Google per i dispositivi Android, i rischi di tracciamento sono in realtà molto più elevati per coloro che utilizzano auricolari vulnerabili con altri sistemi operativi come iOS, macOS, Windows o Linux. Per i possessori di iPhone, questo è particolarmente preoccupante.
La connessione delle cuffie Bluetooth agli smartphone Android è diventata molto più veloce quando Google ha lanciato Fast Pair, una tecnologia ora utilizzata da dozzine di produttori di accessori. Per associare un nuovo auricolare, è sufficiente accenderlo e tenerlo accanto al telefono. Se il dispositivo è relativamente moderno (prodotto dopo il 2019), un messaggio a comparsa consente di connettersi e scaricare l’app associata, se ne esiste una. Basta letteralmente un tocco.
Purtroppo, però, sembra che parecchi produttori non abbiano prestato attenzione ai dettagli di questa tecnologia durante l’implementazione, e ora i loro accessori possono essere dirottati dallo smartphone di un estraneo in pochi secondi, anche se l’auricolare non è in modalità di associazione. Questo è il succo della vulnerabilità WhisperPair, scoperta di recente dai ricercatori della KU Leuven e registrata come CVE-2025-36911.
Il dispositivo autore dell’attacco, che può essere uno smartphone, un tablet o un normale laptop, trasmette le richieste di Google Fast Pair a qualsiasi dispositivo Bluetooth entro un raggio di 14 metri. A quanto pare, un lungo elenco di cuffie Sony, JBL, Redmi, Anker, Marshall, Jabra, OnePlus e persino della stessa Google (i Pixel Buds 2) rispondono a questi ping anche quando non sono in attesa di essere associate. In media, l’attacco richiede appena 10 secondi.
Una volta associate le cuffie, l’utente malintenzionato può fare praticamente tutto ciò che può fare il proprietario: ascoltare tramite il microfono, diffondere musica o, in alcuni casi, geolocalizzare le cuffie su una mappa se queste- supportano Google Find Hub. Quest’ultima funzionalità, progettata esclusivamente per ritrovare le cuffie smarrite, crea un’opportunità perfetta per il tracciamento occulto da remoto. Ed ecco il colpo di scena: in realtà è più pericoloso per gli utenti Apple e chiunque utilizzi hardware non Android.
Monitoraggio remoto e rischi per gli iPhone
Quando le cuffie o un auricolare si associano per la prima volta a un dispositivo Android tramite il protocollo Fast Pair, una chiave del proprietario associata all’account Google dello smartphone viene nascosta nella memoria dell’accessorio. Queste informazioni consentono di tracciare le cuffie agendo sui dati raccolti da milioni di dispositivi Android. Quando uno smartphone qualsiasi individua tramite Bluetooth un dispositivo nelle vicinanze, segnala la propria posizione ai server di Google. Questa funzionalità, Google Find Hub, è essenzialmente la versione Android di Dov’è di Apple e introduce gli stessi rischi di tracciamento non autorizzato di un AirTag compromesso.
Quando un utente malintenzionato manomette l’associazione, la sua chiave può essere salvata in veste di chiave del proprietario delle cuffie, ma solo se le cuffie prese di mira tramite WhisperPair non sono state precedentemente collegate a un dispositivo Android, ma solo a un iPhone o altro hardware, ad esempio un laptop con un sistema operativo diverso. Una volta associate le cuffie, l’utente malintenzionato può localizzare la posizione della vittima su una mappa senza alcun limite (non solo entro un raggio di 14 metri).
Gli utenti Android che hanno già utilizzato Fast Pair per collegare le proprie vulnerabili cuffie sono al sicuro da questa mossa, avendo già effettuato l’accesso come proprietari ufficiali. Tutti gli altri, invece, dovrebbero ricontrollare la documentazione del produttore per vedere se sono al sicuro: per fortuna, non tutti i dispositivi vulnerabili all’exploit supportano Google Find Hub.
Come neutralizzare la minaccia WhisperPair
L’unica correzione veramente efficace di questo bug è aggiornare il firmware delle cuffie, a condizione che sia effettivamente disponibile un aggiornamento. In genere è possibile cercare e installare gli aggiornamenti tramite l’app ufficiale delle cuffie. I ricercatori hanno stilato un elenco dei dispositivi vulnerabili sul loro sito, ma quasi certamente non è esaustivo.
Dopo l’aggiornamento del firmware, è assolutamente necessario eseguire un ripristino alle impostazioni di fabbrica per cancellare l’elenco dei dispositivi associati, inclusi quelli indesiderati.
Se non è disponibile alcun aggiornamento del firmware e si utilizzano le cuffie con iOS, macOS, Windows o Linux, l’unica opzione rimanente è ricorrere a uno smartphone Android (magari chiedendo a un amico fidato che ne abbia uno) e utilizzarlo per garantirsi il ruolo di proprietario originario. Ciò impedirà a chiunque altro di aggiungere di straforo le cuffie a Google Find Hub.
L’aggiornamento di Google
A gennaio 2026 Google ha pubblicato un aggiornamento Android per correggere la vulnerabilità dal lato del sistema operativo. Le specifiche però non sono state rese pubbliche, pertanto non ci resta che indovinare esattamente cosa abbiano ottimizzato. Molto probabilmente, gli smartphone aggiornati non segnaleranno più la posizione degli accessori dirottati con WhisperPair alla rete Google Find Hub. Ma dato che non tutti gli utenti agiscono prontamente quando si tratta di installare gli aggiornamenti Android, è sicuro che questo tipo di tracciamento delle cuffie rimarrà praticabile per almeno un altro paio d’anni.
Per scoprire quali altri gadget possono spiare gli utenti, consigliamo questi post:
