Un gruppo di ricercatori europei ha scoperto una vulnerabilità, denominata WhisperPair, che colpisce il sistema di connessione rapida Fast Pair di Google, utilizzato per facilitare l’abbinamento degli auricolari agli smartphone. La vulnerabilità è stata riscontrata in dispositivi di vari produttori, tra cui Sony, Xiaomi, Nothing e Google stessa, a causa di un’errata implementazione dei requisiti di sicurezza.
WhisperPair crea due principali minacce: il dirottamento degli auricolari, che consente a terzi non autorizzati di prenderne il controllo, microfono incluso, e il tracciamento della posizione degli utenti attraverso la rete “Find Hub” di Google.
Google Fast Pair è progettato per semplificare l’accoppiamento Bluetooth tra un “Seeker” (tipicamente uno smartphone Android) e un “Provider” (un accessorio come cuffie o auricolari).
La vulnerabilità WhisperPair risiede in un’errata implementazione da parte di molti produttori di accessori. La specifica di Fast Pair stabilisce che un accessorio dovrebbe ignorare le richieste di accoppiamento se non si trova esplicitamente in “pairing mode”. I ricercatori hanno scoperto che numerosi dispositivi non applicano questa verifica, permettendo a dispositivi non autorizzati di avviare e completare il processo di pairing senza il consenso dell’utente.
L’attacco può essere portato a termine in pochi secondi, con un tempo medio di soli 10 secondi, e può essere eseguito a distanza, fino a 14 metri tra l’aggressore e la vittima. L’attacco non richiede accesso fisico al dispositivo della vittima né alcuna interazione da parte sua e può essere eseguito utilizzando hardware di uso comune e a basso costo, come un laptop standard.
La vulnerabilità WhisperPair si articola in due forme di attacco distinte: il controllo remoto del dispositivo e il tracciamento della sua posizione.
Sfruttando la falla nel processo di pairing, un aggressore può forzare l’accoppiamento con un accessorio vulnerabile, ottenendone il pieno controllo. Una volta stabilita la connessione, il malintenzionato può riprodurre audio a volumi elevati direttamente negli auricolari della vittima o registrare conversazioni utilizzando il microfono dell’accessorio compromesso.
Se l’accessorio vulnerabile non è mai stato accoppiato in precedenza con un dispositivo Android, un aggressore può sfruttare WhisperPair per registrarlo sul proprio account Google e tracciarne la posizione. Se un aggressore riesce a eseguire l’attacco prima del legittimo proprietario, può scrivere la propria chiave, diventando di fatto il “proprietario” del dispositivo agli occhi della rete Find Hub di Google e ottenendo così la capacità di localizzarlo.
La vittima potrebbe ricevere una notifica di “tracciamento indesiderato”, ma questa segnalerà il suo stesso dispositivo, portando l’utente a ignorare l’avviso.
Una implementazione errata del Fast Pair mette a rischio la privacy di un utente iPhone: se un utente iPhone ha comprato delle cuffie e le usa come auricolari bluetooth, è molto probabile che questi auricolari non abbiano scritto la chiave, rendendoli vulnerabili a WhisperPair e agganciabili ad un altro account per seguire ovunque il proprietario.
La stessa Google ha gli auricolari vulnerabili. La falla è sfuggita a tre livelli di controllo fondamentali: gli sviluppatori dei produttori di accessori non hanno implementato correttamente le specifiche di sicurezza di Fast Pair, i processi di controllo interni non hanno individuato la non conformità e il processo di certificazione di Google non ha rilevato l’implementazione insicura prima di approvare i dispositivi per il mercato.
La vulnerabilità risiede nel firmware dell’auricolare e la funzionalità Fast Pair non può essere disattivata, quindi anche gli utenti che non possiedono un dispositivo Android sono esposti al rischio se utilizzano un accessorio vulnerabile.
I ricercatori hanno pubblicato un elenco di 17 dispositivi che hanno provato e trovato vulnerabili, ma la falla potrebbe riguardare centinaia di migliaia di modelli. L’unica soluzione efficace è aggiornare il firmware dell’auricolare, anche se le persone raramente aggiornano il firmware delle proprie cuffie.
Google ha rilasciato patch per i suoi Pixel Buds e per il network “Find Hub”. Xiaomi e JBL hanno confermato di essere al lavoro su aggiornamenti software mentre Jabra sostiene di aver già risolto il problema. Logitech ha dichiarato che i futuri modelli saranno protetti. La falla coinvolge ogni accessorio dotato di Fast Pair.
Milioni di auricolari Bluetooth hanno una falla gravissima e possono essere intercettati
Ricevi le nostre ultime notizie da Google News
clicca su SEGUICI, poi nella nuova schermata clicca sul pulsante con la stella.
