{"id":30415,"date":"2026-01-30T11:27:34","date_gmt":"2026-01-30T09:27:34","guid":{"rendered":"https:\/\/www.kaspersky.it\/blog\/?p=30415"},"modified":"2026-01-30T12:38:08","modified_gmt":"2026-01-30T10:38:08","slug":"whisperpair-blueooth-headset-location-tracking","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/whisperpair-blueooth-headset-location-tracking\/30415\/","title":{"rendered":"Le tue cuffie Bluetooth ti spiano?"},"content":{"rendered":"

Una vulnerabilit\u00e0 scoperta di recente denominata WhisperPair pu\u00f2 trasformare cuffie e auricolari Bluetooth di molti marchi noti in beacon di geolocalizzazione, indipendentemente dal fatto che gli accessori siano connessi a un iPhone, uno smartphone Android o un laptop. Anche se la tecnologia alla base di questo difetto trae origine da Google per i dispositivi Android, i rischi di tracciamento sono in realt\u00e0 molto pi\u00f9 elevati per coloro che utilizzano auricolari vulnerabili con altri sistemi operativi come iOS, macOS, Windows o Linux. Per i possessori di iPhone, questo \u00e8 particolarmente preoccupante.<\/p>\n

La connessione delle cuffie Bluetooth agli smartphone Android \u00e8 diventata molto pi\u00f9 veloce quando Google ha lanciato Fast Pair, una tecnologia ora utilizzata da dozzine di produttori di accessori. Per associare un nuovo auricolare, \u00e8 sufficiente accenderlo e tenerlo accanto al telefono. Se il dispositivo \u00e8 relativamente moderno (prodotto dopo il 2019), un messaggio a comparsa consente di connettersi e scaricare l\u2019app associata, se ne esiste una. Basta letteralmente un tocco.<\/p>\n

Purtroppo, per\u00f2, sembra che parecchi produttori non abbiano prestato attenzione ai dettagli di questa tecnologia durante l\u2019implementazione, e ora i loro accessori possono essere dirottati dallo smartphone di un estraneo in pochi secondi, anche se l\u2019auricolare non \u00e8 in modalit\u00e0 di associazione. Questo \u00e8 il succo della vulnerabilit\u00e0 WhisperPair, scoperta di recente dai ricercatori della KU Leuven e registrata come CVE-2025-36911<\/a>.<\/p>\n

Il dispositivo autore dell\u2019attacco, che pu\u00f2 essere uno smartphone, un tablet o un normale laptop, trasmette le richieste di Google Fast Pair a qualsiasi dispositivo Bluetooth entro un raggio di 14 metri. A quanto pare, un lungo elenco di cuffie Sony, JBL, Redmi, Anker, Marshall, Jabra, OnePlus e persino della stessa Google (i Pixel Buds 2) rispondono a questi ping anche quando non sono in attesa di essere associate. In media, l\u2019attacco richiede appena 10 secondi.<\/p>\n

Una volta associate le cuffie, l\u2019utente malintenzionato pu\u00f2 fare praticamente tutto ci\u00f2 che pu\u00f2 fare il proprietario: ascoltare tramite il microfono, diffondere musica o, in alcuni casi, geolocalizzare le cuffie su una mappa se queste- supportano Google Find Hub. Quest\u2019ultima funzionalit\u00e0, progettata esclusivamente per ritrovare le cuffie smarrite, crea un\u2019opportunit\u00e0 perfetta per il tracciamento occulto da remoto. Ed ecco il colpo di scena: in realt\u00e0 \u00e8 pi\u00f9 pericoloso per gli utenti Apple e chiunque utilizzi hardware non Android.<\/p>\n

Monitoraggio remoto e rischi per gli iPhone<\/h2>\n

Quando le cuffie o un auricolare si associano per la prima volta a un dispositivo Android tramite il protocollo Fast Pair, una chiave del proprietario associata all\u2019account Google dello smartphone viene nascosta nella memoria dell\u2019accessorio. Queste informazioni consentono di tracciare le cuffie agendo sui dati raccolti da milioni di dispositivi Android. Quando uno smartphone qualsiasi individua tramite Bluetooth un dispositivo nelle vicinanze, segnala la propria posizione ai server di Google. Questa funzionalit\u00e0, Google Find Hub, \u00e8 essenzialmente la versione Android di Dov\u2019\u00e8 di Apple e introduce gli stessi rischi di tracciamento non autorizzato di un AirTag compromesso<\/a>.<\/p>\n

Quando un utente malintenzionato manomette l\u2019associazione, la sua chiave pu\u00f2 essere salvata in veste di chiave del proprietario delle cuffie, ma solo se le cuffie prese di mira tramite WhisperPair non sono state precedentemente collegate a un dispositivo Android, ma solo a un iPhone o altro hardware, ad esempio un laptop con un sistema operativo diverso. Una volta associate le cuffie, l\u2019utente malintenzionato pu\u00f2 localizzare la posizione della vittima su una mappa senza alcun limite (non solo entro un raggio di 14 metri).<\/p>\n

Gli utenti Android che hanno gi\u00e0 utilizzato Fast Pair per collegare le proprie vulnerabili cuffie sono al sicuro da questa mossa, avendo gi\u00e0 effettuato l\u2019accesso come proprietari ufficiali. Tutti gli altri, invece, dovrebbero ricontrollare la documentazione del produttore per vedere se sono al sicuro: per fortuna, non tutti i dispositivi vulnerabili all\u2019exploit supportano Google Find Hub.<\/p>\n

Come neutralizzare la minaccia WhisperPair<\/h2>\n

L\u2019unica correzione veramente efficace di questo bug \u00e8 aggiornare il firmware delle cuffie, a condizione che sia effettivamente disponibile un aggiornamento. In genere \u00e8 possibile cercare e installare gli aggiornamenti tramite l\u2019app ufficiale delle cuffie. I ricercatori hanno stilato un elenco dei dispositivi vulnerabili sul loro sito<\/a>, ma quasi certamente non \u00e8 esaustivo.<\/p>\n

Dopo l\u2019aggiornamento del firmware, \u00e8 assolutamente necessario eseguire un ripristino alle impostazioni di fabbrica per cancellare l\u2019elenco dei dispositivi associati, inclusi quelli indesiderati.<\/p>\n

Se non \u00e8 disponibile alcun aggiornamento del firmware e si utilizzano le cuffie con iOS, macOS, Windows o Linux, l\u2019unica opzione rimanente \u00e8 ricorrere a uno smartphone Android (magari chiedendo a un amico fidato che ne abbia uno) e utilizzarlo per garantirsi il ruolo di proprietario originario. Ci\u00f2 impedir\u00e0 a chiunque altro di aggiungere di straforo le cuffie a Google Find Hub.<\/p>\n

L\u2019aggiornamento di Google<\/h2>\n

A gennaio 2026 Google ha pubblicato un aggiornamento Android per correggere la vulnerabilit\u00e0 dal lato del sistema operativo. Le specifiche per\u00f2 non sono state rese pubbliche, pertanto non ci resta che indovinare esattamente cosa abbiano ottimizzato. Molto probabilmente, gli smartphone aggiornati non segnaleranno pi\u00f9 la posizione degli accessori dirottati con WhisperPair alla rete Google Find Hub. Ma dato che non tutti gli utenti agiscono prontamente quando si tratta di installare gli aggiornamenti Android, \u00e8 sicuro che questo tipo di tracciamento delle cuffie rimarr\u00e0 praticabile per almeno un altro paio d\u2019anni.<\/p>\n

<\/p>

Per scoprire quali altri gadget possono spiare gli utenti, consigliamo questi post:<\/p>\n