Una nuova ricerca ha portato alla luce alcune gravi falle di sicurezza che riguardano molti dispositivi compatibili con il protocollo Fast Pair di Google. Il problema, battezzato WhisperPair dai ricercatori che lo hanno scoperto, potrebbe infatti permettere a malintenzionati di prendere il controllo dei vostri auricolari wireless, cuffie e altri accessori Bluetooth senza mai toccarli fisicamente.
Segui TuttoAndroid su Google Discover
Offerte Amazon Prime Day, scopri quando!
Iscrivi ad Amazon Prime per poter approfittare delle offerte Prime Day, i primi 30 giorni sono gratis!
Come funziona Fast Pair e perché è così diffuso
Prima di addentrarci nel problema, vale la pena capire cosa rende Fast Pair così popolare. Si tratta infatti di un protocollo sviluppato da Google per semplificare e rendere più efficace l’esperienza di accoppiamento dei dispositivi Bluetooth.
Invece di doversi orientare attraverso menu e impostazioni per collegare un paio di auricolari wireless al telefono, infatti, Fast Pair fa praticamente tutto in automatico: basta aprire la custodia degli auricolari vicino allo smartphone Android e il sistema riconosce immediatamente il dispositivo, proponendo di collegarlo con un semplice tocco. Ancora meglio, una volta accoppiato un accessorio, i dettagli di connessione vengono condivisi automaticamente con tutti i dispositivi associati al proprio account Google.
Per questo comfort aggiuntivo, Fast Pair è diventato uno standard de facto per molti produttori di accessori audio, da Google stessa a Sony, Nothing, OnePlus e molti altri. Purtroppo, però, proprio questa diffusione rende le vulnerabilità scoperte particolarmente preoccupanti.
I responsabili della scoperta sono un gruppo di ricercatori dell’Università KU Leuven in Belgio, che hanno identificato queste falle di sicurezza e le hanno segnalate a Google nell’agosto del 2025. L’azienda di Mountain View ha preso molto sul serio la questione, classificando immediatamente le vulnerabilità come critiche e concedendo un periodo di 150 giorni prima della divulgazione pubblica, in modo da dare ai produttori il tempo necessario per rilasciare aggiornamenti correttivi e proteggere gli utenti.
Come funziona l’attacco WhisperPair
Stando a quanto emerge dall’analisi, un malintenzionato può utilizzare qualsiasi dispositivo capace di comunicare tramite Bluetooth per prendere di mira un accessorio vulnerabile. Una volta individuato il bersaglio, l’hacker può avviare da remoto la procedura di accoppiamento con il dispositivo, senza dover mai entrare in possesso fisico dei vostri auricolari o del vostro smartphone.
Alla base del problema c’è una fase del processo di accoppiamento che molti produttori hanno implementato in modo inadeguato. Secondo le specifiche ufficiali di Fast Pair, infatti, quando un dispositivo chiamato Seeker (nel caso tipico, uno smartphone) invia un messaggio a un Provider (l’accessorio, come un paio di auricolari) per iniziare la procedura di accoppiamento, il Provider dovrebbe prima verificare se si trova effettivamente in modalità di accoppiamento. Se non lo è, dovrebbe semplicemente ignorare la richiesta.
Il problema è che molti dispositivi presenti sul mercato saltano completamente questa verifica e non controllano se sono in modalità di accoppiamento prima di rispondere alle richieste in arrivo. Ovvero, un dispositivo non autorizzato può iniziare la procedura di pairing anche quando l’accessorio non dovrebbe essere disponibile per nuove connessioni. Una volta ricevuta la risposta dall’accessorio vulnerabile, l’attaccante può completare l’accoppiamento stabilendo una normale connessione Bluetooth.
L’aspetto ancora più insidioso di tutto ciò, è che l’unico segnale d’allarme per l’utente potrebbe essere una notifica di tracciamento indesiderato, ma anche questa informazione risulta fuorviante, perché mostra come sorgente il dispositivo della stessa vittima, non quello dell’hacker.
Cosa può fare un hacker sfruttando questa vulnerabilità?
Le conseguenze di un attacco WhisperPair portato a termine sono piuttosto importanti. Una volta che un malintenzionato ha preso il controllo di un accessorio Fast Pair, infatti, le possibilità di abuso sono ampie e preoccupanti.
Innanzitutto, attraverso la funzionalità Google Find Hub, che normalmente serve per localizzare dispositivi smarriti, un hacker potrebbe tracciare la posizione del proprietario dell’accessorio compromesso. Un’altra possibilità è l’interruzione della riproduzione audio: mentre si sta ascoltando musica, effettuando una chiamata importante o guardando un video, l’hacker potrebbe interrompere la connessione o disturbare la qualità del suono, causando fastidi e frustrazioni.
Ma le minacce più serie riguardano la privacy. Alcuni auricolari e cuffie dotati di microfoni potrebbero essere utilizzati per registrare conversazioni telefoniche o catturare i suoni ambientali circostanti, trasformando i propri accessori audio in dispositivi di sorveglianza, una violazione della privacy estremamente grave.
Quali dispositivi sono vulnerabili?
I ricercatori hanno pubblicato un elenco di prodotti che risultano affetti dalle vulnerabilità WhisperPair, che purtroppo include alcuni dei dispositivi audio più popolari sul mercato. Tra questi spiccano le cuffie over-ear di punta di Sony, le WH-1000XM6, insieme ai due modelli precedenti, le XM5 e le XM4, tutti molto apprezzati dagli audiofili per la loro eccellente qualità audio e cancellazione attiva del rumore. Anche le controparti in formato auricolari di Sony sono interessate dal problema.
Nella lista compaiono anche prodotti di marchi più recenti come Nothing, con i loro Ear (a), e OnePlus con i Nord Buds 3 Pro. Persino Google non è immune: i Pixel Buds Pro 2, gli auricolari di punta dell’azienda, sono tra i dispositivi vulnerabili.
Di contro, notiamo come non tutti i dispositivi compatibili con Fast Pair siano vulnerabili. Alcuni produttori hanno implementato correttamente i controlli di sicurezza necessari. Tuttavia, l’elenco pubblicato dai ricercatori include abbastanza prodotti diffusi da rendere la questione rilevante per un gran numero di utenti.
Cosa possono fare gli utenti per proteggersi
La buona notizia è che esistono soluzioni a questi problemi, anche se richiedono un po’ di attenzione da parte degli utenti. La cattiva notizia è che non esiste un modo semplice per disattivare completamente la funzionalità Fast Pair sui dispositivi vulnerabili, e che quindi non è possibile semplicemente spegnere questa caratteristica per eliminare il rischio.
La raccomandazione principale dei ricercatori è di mantenere tutti i propri accessori Fast Pair aggiornati con le ultime patch di sicurezza disponibili. I produttori sono stati informati delle vulnerabilità e molti hanno già rilasciato o stanno rilasciando aggiornamenti firmware che risolvono il problema. Tuttavia, a differenza degli smartphone che spesso si aggiornano automaticamente, gli accessori come auricolari e cuffie richiedono generalmente un intervento manuale.
Pertanto, bisognerà controllare ogni dispositivo Fast Pair in proprio possesso: un passaggio non comodissimo, ma quanto mai funzionale in questo caso.
Offerte Amazon Prime Day, scopri quando!
Iscrivi ad Amazon Prime per poter approfittare delle offerte Prime Day, i primi 30 giorni sono gratis!
Perché si è creato questo problema
Vale la pena sottolineare che il problema non è legato al design fondamentale del protocollo Fast Pair. Le specifiche tecniche elaborate da Google includono infatti effettivamente le misure di sicurezza necessarie per prevenire questo tipo di attacchi. Il problema è che molti produttori, nell’implementare Fast Pair nei loro dispositivi, hanno saltato o implementato male alcuni di questi controlli di sicurezza.
Il che ci porta a un’ulteriore riflessione: anche quando esistono standard di sicurezza ben definiti, la loro efficacia dipende dalla qualità dell’implementazione da parte dei singoli produttori. Un protocollo può essere teoricamente sicuro sulla carta, ma se le aziende che lo adottano prendono scorciatoie durante lo sviluppo, magari per accelerare il time-to-market o ridurre i costi, le vulnerabilità possono comunque emergere.