WhisperPair, la falla Bluetooth che permette di spiare conversazioni e tracciare gli utenti



[ZEUS News - www.zeusnews.it - 19-01-2026]

whisperpair falla bluetooth
Foto di Suganth.

Una vulnerabilità nel protocollo Google Fast Pair sta esponendo centinaia di milioni di dispositivi audio Bluetooth a rischi concreti di intercettazione, tracciamento e dirottamento. WhisperPair, questo il nome assegnato alla falla, permette a un aggressore nelle vicinanze di assumere il controllo di auricolari, cuffie e altoparlanti senza alcuna interazione da parte dell'utente.

L'analisi tecnica condotta dai ricercatori di KU Leuven ha evidenziato che il problema non risiede negli smartphone, ma negli accessori audio che implementano Fast Pair in modo errato. Il protocollo, progettato per semplificare l'abbinamento tramite connessione one tap, dovrebbe ignorare qualsiasi richiesta di pairing quando il dispositivo non è in modalità di associazione. Tuttavia, numerosi produttori non rispettano questa condizione, consentendo di forzare l'abbinamento in pochi secondi utilizzando hardware comune come un laptop o un Raspberry Pi.

La vulnerabilità è catalogata come CVE‑2025‑36911 e riguarda dispositivi di marchi molto diffusi. Tra i modelli coinvolti figurano prodotti di Sony, JBL, Nothing, OnePlus, Jabra e persino accessori realizzati da Google stessa. La falla consente non solo di prendere il controllo del dispositivo, ma anche di attivare il microfono e ascoltare conversazioni o contenuti audio privati senza che l'utente se ne accorga. Uno degli aspetti più critici è che l'attacco può essere eseguito anche se l'accessorio è già associato a uno smartphone. L'aggressore deve trovarsi nel raggio di azione del Bluetooth, tipicamente tra i 10 e i 15 metri, ma non ha bisogno di alcun accesso fisico al dispositivo. Una volta stabilita la connessione forzata, può intercettare lo streaming audio, manipolare i comandi e monitorare gli spostamenti dell'utente sfruttando la rete Find My Device/Find Hub, che consente di localizzare gli accessori compatibili.

La ricerca ha mostrato che molti dispositivi basati su chipset Airoha sono particolarmente vulnerabili. In 17 modelli testati su 19, i ricercatori sono riusciti a replicare l'attacco con successo. Questo dato suggerisce che il problema sia diffuso e legato a implementazioni non conformi alle specifiche di sicurezza del protocollo Fast Pair. WhisperPair non si limita all'intercettazione audio. La falla permette anche il tracciamento degli utenti, poiché l'aggressore può sfruttare i meccanismi di localizzazione degli accessori per monitorarne gli spostamenti. Questo scenario apre a rischi significativi per la privacy, soprattutto in contesti pubblici o affollati, dove un attacco può essere eseguito senza destare sospetti.

Per approfondire:
Google lancia la traduzione simultanea universale: bastano qualsiasi telefono An...
La traduzione simultanea tramite AirPod Apple è disponibile anche in Italia
Gli AirPod faranno anche l'elettroencefalogramma. Aiuteranno a tenere la sal...
Gli auricolari Bluetooth in legno con IA integrata e traduzione automatica in 15...

La natura del bug rende inefficaci molte delle precauzioni che gli utenti potrebbero adottare. Disattivare il Bluetooth non è una soluzione praticabile per chi utilizza dispositivi audio wireless quotidianamente, mentre la semplice presenza dell'accessorio nel raggio dell'attaccante è sufficiente per avviare l'attacco. Il problema è aggravato dal fatto che gli utenti non ricevono alcuna notifica visibile quando avviene il pairing forzato. Diversi produttori hanno iniziato a rilasciare aggiornamenti firmware per correggere l'implementazione errata del protocollo. Tuttavia, la frammentazione del mercato degli accessori Bluetooth rende difficile garantire una copertura completa. Molti dispositivi economici o meno recenti potrebbero non ricevere alcuna patch, lasciando gli utenti esposti a lungo termine.

Google ha confermato di essere al lavoro su aggiornamenti delle specifiche Fast Pair e su strumenti di verifica più rigorosi per i produttori. Tuttavia, la correzione definitiva richiederà tempo, poiché ogni produttore deve implementare e distribuire autonomamente gli aggiornamenti necessari. Nel frattempo, gli esperti raccomandano di aggiornare regolarmente il firmware degli accessori e di evitare l'uso di dispositivi non più supportati.

Articoli raccomandati:
Maxell porta il walkman a cassette nel XXI secolo con Bluetooth e USB-C
Il Bluetooth, l'app Immuni e il GDPR
Il ragazzino diventato quasi sordo per colpa degli AirPod
Da Dyson le cuffie che purificano l'aria

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News ti consigliamo di iscriverti alla Newsletter gratuita. Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui sotto, inserire un commento (anche anonimo) o segnalare un refuso.
© RIPRODUZIONE RISERVATA

Approfondimenti
Arriva la musica lossless su Apple, ma non per gli AirPod

Commenti all'articolo (3)


zeross
la vicinanza per uno spione bluettoth e qualcosa di molto più simile ad un contatto in area di rigore per i calciatori piuttosto che ad un appostamento di uno spione.
15-3-2026 20:31

Gladiator
Sempre meglio quelle che la possibilità che qualcun altro possa spiarti attraverso le cuffie Bluetooth... :wink:
24-1-2026 15:06
{ariadop}
Che belle le cuffie a filo piatto che non si ingarbugliano, costano 15 euro, sono ottime per musica e telefono e non hanno problemi di batteria e bluetooth. Purtroppo ho dovuto lasciarle nel casetto perché poco pratiche.
19-1-2026 10:03
Inserisci un commento - anche se NON sei registrato

La liberta' di parola e' un diritto inviolabile, ma nei forum di Zeus News vige un regolamento che impone delle restrizioni e che l'utente e' tenuto a rispettare. I moderatori si riservano il diritto di cancellare o modificare i commenti inseriti dagli utenti, senza dover fornire giustificazione alcuna. Gli utenti non registrati al forum inoltre sono sottoposti a moderazione preventiva. La responsabilita' dei commenti ricade esclusivamente sui rispettivi autori. I principali consigli: rimani sempre in argomento; evita commenti offensivi, volgari, violenti o che inneggiano all'illegalita'; non inserire dati personali, link inutili o spam in generale.
E' VIETATA la riproduzione dei testi e delle immagini senza l'espressa autorizzazione scritta di Zeus News. Tutti i marchi e i marchi registrati citati sono di proprietà delle rispettive società. Informativa sulla privacy. I tuoi suggerimenti sono di vitale importanza per Zeus News. Contatta la redazione e contribuisci anche tu a migliorare il sito: pubblicheremo sui forum le lettere piu' interessanti.
Sondaggio
Dove guardi le tue serie Tv preferite?
Alla TV
Sul PC
Sul tablet
Sullo smartphone

Mostra i risultati (2674 voti)
Aprile 2026
n. 4100 del 20-04-2026
Verifica dell'età, l'app UE si buca in meno di due minuti
n. 4099 del 16-04-2026
Alexa+ debutta in Italia: conversa, agisce e si integra nella smart home
n. 4098 del 15-04-2026
Verbatim e I-O Data puntano sul Blu-ray: rinasce un mercato dato per morto
n. 4097 del 13-04-2026
La Francia abbandona Windows
n. 4096 del 09-04-2026
Router TP-Link compromessi in tutto il mondo: così gli hacker russi sottraggono le credenziali
n. 4095 del 07-04-2026
Attività sessuali, persone svestite o alla toilette, carte di credito
n. 4094 del 03-04-2026
Oracle licenzia 30.000 dipendenti via email
Marzo 2026
n. 4093 del 30-03-2026
Windows 11 avrà una barra delle applicazioni compatta in stile Windows 10
n. 4092 del 27-03-2026
CPU Intel e AMD introvabili
n. 4091 del 26-03-2026
Mozilla lancia la VPN gratuita in Firefox
n. 4090 del 24-03-2026
Windows 11, vacilla l'obbligo dell'account Microsoft
n. 4089 del 23-03-2026
Attacco informatico paralizza gli etilometri con alcolock: migliaia di veicoli fermi
n. 4088 del 20-03-2026
La Ricerca Live di Google arriva in Italia
n. 4087 del 19-03-2026
Samsung ritira il Galaxy Z TriFold dopo tre mesi
n. 4086 del 18-03-2026
Linea fissa TIM, in arrivo la rimodulazione: rincari di 2,99 euro a partire da maggio
Tutti gli Arretrati
Vecchi articoli
Accadde oggi - 20 aprile
2026
Linux Mint rallenta per migliorare: kernel 7.0, Wayland e installer unificato
2025
Dire "Grazie" e "Per Favore" a ChatGPT costa milioni
2024
Da Logitech il mouse con tasto dedicato per la IA
2023
EmuOS, giochi e app retro rivivono all'interno del browser
2022
Seria falla in 7-Zip, la patch ancora non c'è
2021
Aggiornamento Windows 10, problemi di tutti i tipi
2020
Rubare i dati da un Pc sfruttando le vibrazioni delle ventole
2019
Falla in Internet Explorer, la micropatch non è di Microsoft
2018
Galaxy J2 Pro, lo smartphone di Samsung senza connessione a Internet
2017
Se la tua fotocopiatrice ti manda una mail, non aprirla con un vecchio Word
2016
Diciassettenne violentata in diretta streaming su Periscope
2015
Come accedere ai profili cancellati da Facebook
2014
La moda di ribaltare le Smart
2013
Le microbatterie che si ricaricano in pochi secondi
2012
Digitale terrestre, dal 2015 servirà un nuovo decoder
2011
Samsung risponde a Apple e nega le accuse
2010
Ubiquitous computing, l'informatica che si ispira alla biologia
2008
PayPal sconsiglia Safari: è insicuro
2007
Addio al modulo per i contatti, meglio Skype
2005
Un forum sulla banda larga in Italia
2004
Tronchetti Provera e gli stipendi d'oro
2002
Wind e Telecom Italia: le due strategie
2001
A scuola di Internet dagli hacker
Olimpo Informatico


 
web metrics