“WhisperPair”, la falla shock, auricolari Bluetooth spiati a 14 metri senza saperlo

Un team di ricercatori dell'Università KU di Lovanio, in Belgio, ha rilevato criticità che interessano l'ecosistema degli accessori audio Bluetooth, denominate WhisperPair. Queste falle di sicurezza sfruttano le debolezze insite nell'implementazione di Google Fast Pair, la tecnologia progettata per facilitare la sincronizzazione immediata tra dispositivi ed accessori (auricolari true-wireless, cuffie e speaker).

“WhisperPair”, la falla shock, auricolari Bluetooth spiati a 14 metri senza saperlo

Lo studio indica che la problematica non è limitata ad un singolo produttore, ma rappresenta un fallimento sistemico che coinvolge centinaia di milioni di dispositivi attualmente in commercio. Secondo i ricercatori, un aggressore che si trova nel raggio di 14 metri può forzare l'accoppiamento con cuffie, auricolari o speaker della vittima senza alcuna interazione fisica e senza che l'utente possa accorgersene. Una volta stabilita la connessione, l'attaccante ottiene il controllo completo dell'accessorio, potendo riprodurre suoni ad alto volume, intercettare l'audio ambientale tramite il microfono integrato o tracciare la posizione fisica della vittima sfruttando la rete globale Find Hub di Google.

Le implicazioni per la privacy diventano delicate se si considera l'integrazione con la rete Find Hub di Google, il sistema utilizzato per ritrovare i dispositivi smarriti tramite la geolocalizzazione in crowdsourcing. Il protocollo prevede che, al momento del primo accoppiamento con un dispositivo Android, venga scritta sull'accessorio una “chiave dell'account” che ne stabilisce la proprietà. Se la vittima utilizza le cuffie esclusivamente con dispositivi non Android (ad esempio un iPhone o un PC) o non le ha mai associate ad un account Google su un dispositivo Android, l'accessorio rimane privo di un proprietario registrato.

In questo scenario, l'aggressore può iniettare la propria chiave, registrandosi come legittimo proprietario. Da quel momento, può monitorare gli spostamenti della vittima attraverso la rete Find Hub. Sebbene il sistema possa inviare una notifica di “tracciamento indesiderato” alla vittima dopo alcune ore o giorni, questa indicherà paradossalmente il dispositivo della vittima stessa come sorgente, portando l'utente a liquidare l'avviso come un errore software, mentre il monitoraggio prosegue indisturbato.

L'unico modo per risolvere questa vulnerabilità è installare un aggiornamento software rilasciato dal produttore dell'accessorio. Sebbene molti produttori abbiano rilasciato patch per i dispositivi interessati, gli aggiornamenti software potrebbero non essere ancora disponibili per tutti i dispositivi vulnerabili.