Segui ZDNET: Aggiungici come fonte preferita su Google.
I principali punti salienti di ZDNET
- Le vulnerabilità WhisperPair influiscono su un protocollo per la connessione di dispositivi e prodotti audio.
- Gli aggressori possono impossessarsi di un dispositivo audio, manomettere i controlli e potenzialmente ascoltare le tue conversazioni.
- Molti fornitori hanno rilasciato patch, ma alcuni dispositivi sono ancora vulnerabili
I ricercatori hanno rivelato WhisperPair, una famiglia di vulnerabilità che influiscono su un protocollo comunemente utilizzato per accoppiare cuffie, auricolari e altri prodotti audio con dispositivi Bluetooth.
Anche: Il tuo PC Home windows ha bisogno di questa patch per scongiurare il pericoloso malware bootkit: aggiorna ora
Cos’è WhisperPair?
Come prima segnalato da WiredWhisperPair è stato scoperto da un group di ricercatori dell’Università belga KU Leuven, supportato dal programma di ricerca sulla sicurezza informatica del governo.
IL risultati si riferiscono all’implementazione impropria del protocollo Quick Pair di Google, che consente l’accoppiamento con un solo tocco e la sincronizzazione dell’account tra gli accessori Bluetooth. Se il protocollo non è stato implementato correttamente, viene introdotta una falla di sicurezza che “consente a un utente malintenzionato di prendere il controllo dei dispositivi e rintracciare le vittime utilizzando la rete Discover Hub di Google”, secondo i ricercatori.
Inoltre: come questo attacco Copilot con un solo clic ha aggirato i controlli di sicurezza e cosa ha fatto Microsoft al riguardo
La ricerca sulla vulnerabilità è stata segnalata privatamente a Google nell’agosto 2025 e le è stata assegnata una valutazione critica CVE-2025-36911. È stata concordata una finestra di divulgazione di 150 giorni ed è stata assegnata una ricompensa per i bug di $ 15.000.
Come funziona WhisperPair?
WhisperPair si verifica perché molti accessori audio saltano un “passaggio critico” durante l’accoppiamento rapido. Funziona così: un “cercatore” – come un dispositivo cellular abilitato Bluetooth – invia un messaggio al “supplier”, un accessorio audio. Il messaggio embody una richiesta di abbinamento.
Anche se il protocollo Quick Pair specifica che questi messaggi devono essere ignorati quando un accessorio non è in modalità di accoppiamento, questo controllo non viene sempre eseguito, consentendo ai dispositivi non autorizzati di avviare l’accoppiamento senza autorizzazione.
Inoltre: i migliori auricolari del 2026: testati e recensiti da esperti
“Dopo aver ricevuto una risposta dal dispositivo vulnerabile, un utente malintenzionato può completare la procedura di accoppiamento rapido stabilendo un regolare accoppiamento Bluetooth”, affermano i ricercatori.
Cosa può fare WhisperPair?
Se un utente malintenzionato riesce advert associare di nascosto il proprio cercatore con cuffie o auricolari vulnerabili, potrebbe ottenere il controllo completo su di esso, inclusa la manomissione di controlli come il quantity. Ancora più importante, potrebbero essere in grado di registrare silenziosamente le conversazioni effettuate utilizzando i microfoni incorporati.
Gli attacchi WhisperPair sono stati testati fino a una distanza di 14 metri e possono essere condotti in modalità wi-fi.
Inoltre: questi 8 prodotti audio al CES 2026 erano così impressionanti che ho dovuto ascoltarli due volte
Sfortunatamente, non finisce qui. Se un dispositivo supporta ma non è stato registrato su Google Trova Hub rete, gli aggressori potrebbero, in teoria, registrare essi stessi un dispositivo di destinazione sul proprio account e tracciare l’accessorio e il suo utente. Anche se verrà visualizzata una notifica di tracciamento inaspettata, verrà mostrato solo il dispositivo dell’utente, quindi questo avviso potrebbe essere ignorato.
Quali dispositivi sono interessati?
Cuffie e accessori audio di aziende tra cui Google, Sony, Harman (JBL) e Anker sono tra quelli elencati come vulnerabili al momento della stesura di questo articolo.
Poiché WhisperPair sfrutta un difetto nell’implementazione Quick Pair negli accessori Bluetooth, i dispositivi Android non sono gli unici a rischio. Sono interessati anche gli utenti iPhone con accessori vulnerabili.
Come faccio a sapere se il mio dispositivo è vulnerabile?
Il gruppo di ricerca ha pubblicato un catalogo di cuffie, auricolari e altri accessori audio popolari che sono stati testati. C’è qualcosa di utile funzione di ricerca puoi usarlo per verificare se il tuo prodotto è nell’elenco: sfoglia o inserisci il nome del venditore per visualizzare lo stato del prodotto che ti interessa e la listing indicherà se è vulnerabile agli attacchi WhisperPair.
Cosa devo fare dopo?
Se il tuo accessorio è ancora etichettato come vulnerabile a questo attacco, controlla innanzitutto se sono disponibili patch del fornitore. Anche se il tuo dispositivo viene descritto come “non vulnerabile”, dovresti comunque prenderti un momento per assicurarti che sia aggiornato e abbia accettato eventuali nuovi aggiornamenti software program.
Come notano i ricercatori, “l’unico modo per prevenire gli attacchi WhisperPair è installare una patch software program rilasciata dal produttore”. Puoi controllare le app o i siti Internet dei fornitori associati per vedere se qualcosa è disponibile, ma in caso contrario, sfortunatamente, è solo un gioco di attesa. Se il tuo accessorio supporta Discover Hub ma non è stato associato a un dispositivo Android, il group afferma che gli aggressori potrebbero “tracciarne la posizione”, quindi dovrebbe essere aggiornato non appena sarà disponibile una soluzione.
Inoltre: perché tengo sempre con me queste 4 paia di cuffie
Anche se puoi disabilitare l’accoppiamento rapido sul tuo smartphone, ciò non attenuerà il rischio di compromissione.
“Per quanto ne sappiamo, gli accessori compatibili hanno l’accoppiamento rapido abilitato per impostazione predefinita senza un’opzione per disabilitarlo”, hanno aggiunto i ricercatori. “L’unico modo per prevenire gli attacchi WhisperPair è eseguire un aggiornamento del firmware dell’accessorio.”
