Non lo sai nemmeno ma ti ascoltano anche quando i tuoi auricolari sono spenti: l’attacco ai modelli bluetooth.
Una nuova e inquietante vulnerabilità sta scuotendo il mondo degli accessori audio Bluetooth. Si chiama WhisperPair ed è stata scoperta da un team di ricercatori dell’Università KU di Lovanio, in Belgio.
Il problema non riguarda un singolo modello o un marchio isolato, ma un’intera generazione di dispositivi che utilizzano Google Fast Pair, la tecnologia pensata per rendere immediata la sincronizzazione tra smartphone e accessori. Quella che doveva essere una comodità si sta rivelando un potenziale incubo per la privacy di centinaia di milioni di utenti.
Ti ascoltano anche quando sono spenti: l’attacco agli auricolari Bluetooth
Secondo gli studiosi, la falla è così profonda da coinvolgere prodotti di punta come le Google Pixel Buds Pro 2, le cuffie Sony WH‑1000XM nelle varie versioni e gli auricolari di marchi come OnePlus e Nothing. Il dato più allarmante è che un aggressore, posizionato entro un raggio di 14 metri, può forzare l’accoppiamento con cuffie o speaker della vittima senza che questa faccia nulla e, soprattutto, senza che se ne accorga. Una volta stabilita la connessione, il controllo dell’accessorio passa completamente nelle mani dell’attaccante, che può riprodurre suoni ad alto volume, attivare il microfono per ascoltare l’audio ambientale o, scenario ancora più inquietante, tracciare gli spostamenti della vittima sfruttando la rete globale Find Hub di Google.
La vulnerabilità non risiede nello smartphone, ma nel firmware dell’accessorio. Questo significa che anche gli utenti iPhone che utilizzano cuffie compatibili con Fast Pair sono esposti allo stesso rischio. Non basta disattivare il Bluetooth, né ripristinare le impostazioni di fabbrica delle cuffie: il difetto rimane. L’unica soluzione reale è installare aggiornamenti firmware rilasciati dai produttori, quando disponibili.
Per capire la portata del problema bisogna osservare come funziona l’attacco. Fast Pair prevede che l’accessorio accetti richieste di accoppiamento solo quando l’utente lo mette esplicitamente in modalità pairing. Ma i ricercatori hanno scoperto che molti dispositivi non rispettano questo requisito, permettendo a un aggressore di avviare la procedura senza alcuna autorizzazione. Con strumenti comuni come un laptop o un Raspberry Pi, l’attacco può essere completato in circa dieci secondi, aggirando completamente il consenso dell’utente.
Le implicazioni diventano ancora più serie quando entra in gioco la rete Find Hub. Durante il primo accoppiamento con un dispositivo Android, l’accessorio registra una chiave che identifica il proprietario. Se l’utente non ha mai associato le cuffie a un account Google, l’accessorio rimane “senza padrone”. In questo caso, l’aggressore può registrarsi come proprietario legittimo e monitorare gli spostamenti della vittima attraverso la rete di localizzazione. Le notifiche di tracciamento indesiderato, quando arrivano, risultano paradossalmente fuorvianti: indicano il dispositivo della vittima stessa come fonte del tracciamento, inducendo a ignorare l’avviso.
La gravità della situazione è accentuata dal fatto che questi dispositivi hanno superato i controlli di qualità dei produttori e la certificazione di Google. La vulnerabilità è stata segnalata nell’agosto 2025 e classificata come critica, ma la distribuzione delle patch richiede tempo e non tutti i dispositori vulnerabili hanno già ricevuto aggiornamenti.
La raccomandazione degli esperti è chiara: l’unico modo per proteggersi è installare gli aggiornamenti firmware rilasciati dai produttori. Nessun’altra misura è sufficiente. In un mondo sempre più connesso, WhisperPair ricorda quanto sia fragile l’equilibrio tra comodità tecnologica e sicurezza personale.
