Fast Pair di Google rappresenta una delle soluzioni più avanzate per la connessione automatica via Bluetooth di auricolari, altoparlanti e altri dispositivi. Questa tecnologia consente non solo l’abbinamento immediato, ma anche la sincronizzazione delle informazioni su tutti i dispositivi collegati allo stesso account. Recentemente, però, sono emerse importanti vulnerabilità che interessano alcuni prodotti compatibili, rendendo necessario un aggiornamento software puntuale per garantire la sicurezza.
vulnerabilità whisperpair nel protocollo fast pair
Una squadra di ricercatori dell’Università KU Leuven in Belgio ha identificato una serie di falle nel sistema Fast Pair denominate WhisperPair. Questi problemi sono stati comunicati a Google nell’agosto del 2025 e classificati come critici. Per tutelare gli utenti è stato stabilito un periodo di divulgazione responsabile di 150 giorni prima della pubblicazione ufficiale dei dettagli tecnici.
modalità di attacco e rischi associati
L’attacco sfrutta il fatto che molti accessori non verificano adeguatamente se il dispositivo sia effettivamente in modalità pairing durante l’avvio della procedura Fast Pair. Un aggressore può così utilizzare qualsiasi apparecchio con capacità Bluetooth — da un computer portatile a un Raspberry Pi — per instaurare una connessione indesiderata senza alcun contatto fisico con il dispositivo target.
In assenza del controllo sulla modalità pairing, il malintenzionato può completare la fase di accoppiamento e ottenere potenzialmente accesso a funzioni sensibili quali:
- localizzazione tramite Find Hub
- interferenze nella riproduzione audio
- registrazioni ambientali o telefoniche
meccanismo tecnico della falla fast pair
Nella procedura standard Fast Pair, il dispositivo chiamante (Seeker) invia una richiesta al dispositivo ricevente (Provider) per iniziare l’abbinamento. La specifica impone che se il Provider non è in modalità pairing deve ignorare questa richiesta. Molti dispositivi però non rispettano questo passaggio fondamentale, permettendo così ad attaccanti esterni di avviare la connessione senza autorizzazione.
prodotti interessati dalle vulnerabilità whisperpair
Sebbene non tutti gli accessori Fast Pair siano colpiti da queste problematiche, alcuni modelli noti risultano vulnerabili. Tra questi si evidenziano:
- Sony WH-1000XM6, insieme ai modelli precedenti XM5 e XM4 e le relative cuffie wireless Sony
- Nothing Ear (1)
- OnePlus Nord Buds 3 Pro
- Google Pixel Buds Pro 2
consigli per la sicurezza degli accessori fast pair
I ricercatori raccomandano vivamente di mantenere aggiornati tutti i dispositivi compatibili con Fast Pair applicando prontamente le patch distribuite dai produttori. Al momento non esistono opzioni per disabilitare autonomamente questa funzionalità da parte dell’utente finale, rendendo indispensabile affidarsi agli aggiornamenti ufficiali per mitigare i rischi associati a WhisperPair.
Lascia un commento