L’associazione dei dispositivi Bluetooth può essere una seccatura, ma Google Fast Pair lo rende quasi semplice. Sfortunatamente, questo può anche rendere le tue cuffie vulnerabili all’hacking remoto. Un team di ricercatori sulla sicurezza dell’Università KU Leuven in Belgio ha rivelato una vulnerabilità chiamata WhisperPair che consente a un utente malintenzionato di dirottare i dispositivi abilitati FastPair per spiare il proprietario.
FastPair è ampiamente utilizzato e il tuo dispositivo potrebbe essere vulnerabile anche se non utilizzi prodotti Google. Il bug colpisce più di una dozzina di dispositivi di 10 produttori, tra cui Sony, Nothing, JBL, OnePlus e la stessa Google. Google ha riconosciuto il difetto e ha informato i suoi partner del pericolo, ma spetta a queste singole aziende sviluppare patch per i loro accessori. È disponibile un elenco completo dei dispositivi vulnerabili Sito web del progetto.
I ricercatori affermano che ci vuole solo un attimo per ottenere il controllo di un dispositivo a coppia debole e veloce (una media di soli 10 secondi) a una distanza massima di 14 metri. È vicino alla portata del protocollo Bluetooth e abbastanza lontano perché il bersaglio non si accorga di qualcuno che cammina in giro mentre hackera le cuffie.
Una volta che un utente malintenzionato forza una connessione a un dispositivo audio vulnerabile, può eseguire azioni relativamente innocue, come interrompere il flusso audio o riprodurre l’audio di sua scelta. Tuttavia, WhisperPair consente anche il rilevamento della posizione e l’accesso al microfono. Quindi un utente malintenzionato può ascoltare la tua conversazione e rintracciarti tramite il dispositivo Bluetooth che hai in tasca. I ricercatori hanno creato un utile video dimostrativo (sotto) che mostra come WhisperPair può essere utilizzato per spiare persone ignare.
