NUOVOOra puoi ascoltare gli articoli di Fox Information!
Google ha progettato Quick Pair per rendere le connessioni Bluetooth veloci e semplici. Un tocco sostituisce menu, codici e abbinamento manuale. Questa comodità ora comporta seri rischi. I ricercatori di sicurezza di KU Leuven hanno scoperto difetti nel protocollo Quick Pair di Google che consente l’acquisizione silenziosa dei dispositivi. Hanno chiamato il metodo di attacco WhisperPair. Un utente malintenzionato nelle vicinanze può connettersi a cuffie, auricolari o altoparlanti senza che il proprietario lo sappia. In alcuni casi, l’aggressore può anche tracciare la posizione dell’utente. Ancora più preoccupante è il fatto che le vittime non hanno bisogno di utilizzare Android o possedere prodotti Google. Anche gli utenti iPhone sono colpiti.
Iscriviti per ricevere il mio report GRATUITO su CyberGuy
Ricevi i miei migliori consigli tecnici, avvisi urgenti sulla sicurezza e offerte esclusive direttamente nella tua casella di posta. Inoltre, avrai accesso immediato alla mia guida definitiva alla sopravvivenza alle truffe, gratuitamente quando ti iscrivi a my CYBERGUY.COM notiziario.
APPLE AVVERTE MILIONI DI IPHONE SONO ESPOSTI AD ATTACCHI
L’accoppiamento veloce rende veloce la connessione delle cuffie Bluetooth, ma i ricercatori hanno scoperto che alcuni dispositivi accettano nuovi accoppiamenti senza la dovuta autorizzazione. (Kurt “CyberGuy” Knutsson)
Cos’è WhisperPair e come dirotta i dispositivi Bluetooth
L’accoppiamento veloce funziona trasmettendo l’identità di un dispositivo ai telefoni e ai pc vicini. Questa scorciatoia accelera l’accoppiamento. I ricercatori hanno scoperto che molti dispositivi ignorano una regola chiave. Accettano comunque nuovi accoppiamenti anche se sono già connessi. Ciò apre la porta agli abusi.
All’interno del raggio d’azione del Bluetooth, un utente malintenzionato può accoppiarsi silenziosamente con un dispositivo in circa 10-15 secondi. Una volta connessi, possono interrompere le chiamate, inserire audio o attivare i microfoni. L’attacco non richiede {hardware} specializzato e può essere effettuato utilizzando un telefono commonplace, un laptop computer o un dispositivo a basso costo come un Raspberry Pi. Secondo i ricercatori l’aggressore diventa di fatto il proprietario del dispositivo.
Marchi audio interessati dalla vulnerabilità Quick Pair
I ricercatori hanno testato 17 dispositivi compatibili Quick Pair dei principali marchi, tra cui Sony, Jabra, JBL, Marshall, Xiaomi, Nothing, OnePlus, Soundcore, Logitech e Google. La maggior parte di questi prodotti ha superato i check di certificazione di Google. Questo dettaglio solleva domande scomode su come vengono eseguiti i controlli di sicurezza.
Come le cuffie possono diventare dispositivi di localizzazione
Alcuni modelli interessati creano un problema di privateness ancora più grande. Alcuni dispositivi Google e Sony si integrano con Discover Hub, che utilizza i dispositivi vicini per stimare la posizione. Se un auricolare non è mai stato collegato a un account Google, un utente malintenzionato può prima rivendicarlo. Ciò consente il monitoraggio continuo dei movimenti dell’utente. Se in seguito la vittima riceve un avviso di tracciamento, potrebbe sembrare che faccia riferimento al proprio dispositivo. Ciò rende l’avviso facile da ignorare come errore.
GOOGLE NEST INVIA ANCORA I DATI DOPO L’INTERRUZIONE DEL TELECOMANDO, UN RICERCATORE TROVA
Dashboard dell’aggressore con posizione dalla rete Discover Hub. (KU Lovanio)
Perché molti dispositivi Quick Pair potrebbero rimanere vulnerabili
C’è un altro problema che la maggior parte degli utenti non considera mai. Cuffie e altoparlanti richiedono aggiornamenti del firmware. Questi aggiornamenti di solito arrivano tramite app specifiche del marchio che molte persone non installano mai. Se non scarichi mai l’app, non vedrai mai l’aggiornamento. Ciò significa che i dispositivi vulnerabili potrebbero rimanere esposti per mesi o addirittura anni.
L’unico modo per risolvere questa vulnerabilità è installare un aggiornamento software program rilasciato dal produttore del dispositivo. Sebbene molte aziende abbiano rilasciato patch, gli aggiornamenti potrebbero non essere ancora disponibili per tutti i modelli interessati. Gli utenti devono verificare direttamente con il produttore per confermare se esiste un aggiornamento di sicurezza per il loro dispositivo specifico.
Perché la comodità continua a creare lacune nella sicurezza
Il Bluetooth in sé non period il problema. Il difetto risiede nello strato di comodità costruito sopra di esso. Quick Pair ha dato priorità alla velocità rispetto alla rigorosa applicazione della proprietà. I ricercatori sostengono che l’abbinamento dovrebbe richiedere una prova crittografica di proprietà. Senza di essa, le funzionalità di comodità diventano superfici di attacco. Sicurezza e facilità d’uso non devono essere in conflitto. Ma vanno progettati insieme.
Google risponde alle falle di sicurezza di Quick Pair WhisperPair
Google afferma di aver collaborato con i ricercatori per risolvere le vulnerabilità WhisperPair e di aver iniziato a inviare patch consigliate ai produttori di cuffie all’inizio di settembre. Google ha anche confermato che le proprie cuffie Pixel sono ora patchate.
In una dichiarazione a CyberGuy, un portavoce di Google ha dichiarato: “Apprezziamo la collaborazione con ricercatori di sicurezza attraverso il nostro programma Vulnerability Rewards, che aiuta a proteggere i nostri utenti. Abbiamo lavorato con questi ricercatori per risolvere queste vulnerabilità e non abbiamo visto show di alcuno sfruttamento al di fuori dell’impostazione di laboratorio di questo rapporto. Come migliore pratica di sicurezza, consigliamo agli utenti di controllare le loro cuffie per gli ultimi aggiornamenti del firmware. Valutiamo e miglioriamo costantemente la sicurezza di Quick Pair e Discover Hub. “
Google afferma che il problema principale derivava dal fatto che alcuni produttori di accessori non seguivano completamente le specifiche Quick Pair. Story specifica richiede che gli accessori accettino le richieste di accoppiamento solo quando un utente ha intenzionalmente messo il dispositivo in modalità di accoppiamento. Secondo Google, la mancata applicazione di story regola ha contribuito ai rischi audio e microfonici identificati dai ricercatori.
Per ridurre il rischio in futuro, Google afferma di aver aggiornato il suo Quick Pair Validator e i requisiti di certificazione per verificare esplicitamente se i dispositivi applicano correttamente i controlli della modalità di accoppiamento. Google afferma inoltre di aver fornito ai accomplice accessori soluzioni destinate a risolvere completamente tutti i problemi correlati una volta applicati.
Per quanto riguarda il monitoraggio della posizione, Google afferma di aver implementato una correzione lato server che impedisce agli accessori di essere registrati silenziosamente nella rete Discover Hub se non sono mai stati associati a un dispositivo Android. Secondo l’azienda, questa modifica risolve il rischio di tracciamento di Discover Hub in quello specifico state of affairs su tutti i dispositivi, compresi gli accessori di Google.
I ricercatori, tuttavia, hanno sollevato dubbi sulla rapidità con cui le patch raggiungono gli utenti e sulla quanta visibilità ha Google sugli abusi nel mondo reale che non coinvolgono l’{hardware} di Google. Sostengono inoltre che le debolezze nella certificazione hanno consentito a implementazioni imperfette di raggiungere il mercato su larga scala, suggerendo problemi sistemici più ampi.
Per ora, sia Google che i ricercatori concordano su un punto chiave. Per essere protetti, gli utenti devono installare gli aggiornamenti del firmware del produttore e la disponibilità può variare in base al dispositivo e alla marca.
PAURE DELLO SMART HOME HACKER: COSA È REALE E COSA È HYPE
Notifica di tracciamento indesiderata che mostra il dispositivo della vittima. (KU Lovanio)
Come ridurre il rischio in questo momento
Non puoi disabilitare completamente l’accoppiamento veloce, ma puoi ridurre la tua esposizione.
1) Controlla se il tuo dispositivo è interessato
Se utilizzi un accessorio Bluetooth che supporta Google Quick Pair, inclusi auricolari, cuffie o altoparlanti wi-fi, potresti essere interessato. I ricercatori hanno creato uno strumento di ricerca pubblico che ti consente di cercare il tuo modello di dispositivo specifico e vedere se è vulnerabile. Controllare il tuo dispositivo è un semplice primo passo prima di decidere quali azioni intraprendere. Visita Whisperpair.eu/vulnerable-devices per vedere se il tuo dispositivo è nell’elenco.
2) Aggiorna i tuoi dispositivi audio
Installa l’app ufficiale del produttore delle tue cuffie o altoparlanti. Controlla gli aggiornamenti del firmware e applicali tempestivamente.
3) Evitare l’abbinamento in luoghi pubblici
Associa nuovi dispositivi in spazi privati. Evitare l’abbinamento in aeroporti, bar o palestre dove si trovano estranei nelle vicinanze.
4) Ripristino delle impostazioni di fabbrica se qualcosa non va
Interruzioni audio inaspettate, suoni strani o interruzioni della connessione sono segnali di allarme. Un ripristino delle impostazioni di fabbrica può rimuovere gli accoppiamenti non autorizzati, ma non risolve la vulnerabilità sottostante. È ancora necessario un aggiornamento del firmware.
5) Disattiva il Bluetooth quando non è necessario
Il Bluetooth deve essere attivo solo durante l’uso attivo. La disattivazione del Bluetooth quando non è in uso limita l’esposizione, ma non elimina il rischio sottostante se il dispositivo rimane senza patch.
6) Ripristina i dispositivi di seconda mano
Ripristina sempre le impostazioni di fabbrica delle cuffie o degli altoparlanti utilizzati prima di associarli. Ciò rimuove i collegamenti nascosti e le associazioni di account.
7) Prendi sul serio gli avvisi di tracciamento
Esamina gli avvisi di tracciamento di Discover Hub o Apple, anche se sembrano fare riferimento al tuo dispositivo.
8) Mantieni aggiornato il tuo telefono
Installa tempestivamente gli aggiornamenti del sistema operativo. Le patch della piattaforma possono bloccare i percorsi di exploit anche quando gli accessori sono in ritardo.
I punti salienti di Kurt
WhisperPair mostra come piccole scorciatoie possano portare a grandi fallimenti nella privateness. Le cuffie sembrano innocue. Eppure contengono microfoni, radio e software program che necessitano di remedy e aggiornamenti. Ignorarli lascia un punto cieco che gli aggressori sono felici di sfruttare. Rimanere al sicuro ora significa prestare attenzione ai dispositivi che una volta davi per scontati.
Le aziende dovrebbero essere autorizzate a dare priorità all’accoppiamento rapido rispetto alla prova crittografica della proprietà del dispositivo? Fatecelo sapere scrivendoci a Cyberguy.com
CLICCA QUI PER SCARICARE L’APP FOX NEWS
Iscriviti per ricevere il mio report GRATUITO su CyberGuy
Ricevi i miei migliori consigli tecnici, avvisi urgenti sulla sicurezza e offerte esclusive direttamente nella tua casella di posta. Inoltre, avrai accesso immediato alla mia guida definitiva alla sopravvivenza alle truffe, gratuitamente quando ti iscrivi a my CYBERGUY.COM notiziario.
Copyright 2026 CyberGuy.com. Tutti i diritti riservati.
