I ricercatori della KU Leuven University hanno scoperto notevoli falle di sicurezza nella tecnologia Fast Pair di Google, una funzionalità progettata per semplificare le connessioni dei dispositivi Bluetooth. Le vulnerabilità, denominate “WhisperPair”, potrebbero consentire agli aggressori di dirottare dispositivi audio, inclusi cuffie e auricolari, fino a 46 piedi di distanza.
La spiegazione della vulnerabilità
Fast Pair, introdotto nel 2017, mira a semplificare l’accoppiamento Bluetooth su Android e Chrome OS con un solo tocco. Tuttavia, i ricercatori hanno scoperto che l’implementazione contiene punti deboli che aggirano i protocolli di sicurezza standard. Ciò significa che gli hacker possono sfruttare il processo di connessione per ottenere l’accesso non autorizzato ai dispositivi.
La minaccia non è teorica; i ricercatori hanno dimostrato con successo l’exploit su prodotti di importanti produttori come Sony, Harman e persino sulla stessa Google. Sebbene Google affermi di aver risolto il problema tramite aggiornamenti software, i ricercatori sottolineano che molti dispositivi rimangono vulnerabili.
La risposta di Google e i rischi rimanenti
Google riconosce i difetti e ha rilasciato aggiornamenti per i suoi Pixel Buds Pro, oltre a avvisare gli altri produttori a settembre. Tuttavia, l’azienda attribuisce parte del problema a implementazioni di terze parti che non aderiscono completamente alle specifiche Fast Pair.
Le preoccupazioni principali riguardano due rischi principali:
- Dirottamento del dispositivo: gli aggressori possono assumere il controllo del flusso audio, potenzialmente inserendo contenuti dannosi o intercettando le conversazioni.
- Tracciamento della posizione: le vulnerabilità potrebbero anche consentire agli hacker di tracciare la posizione di un utente attraverso i dispositivi Bluetooth associati. Google afferma di aver implementato una soluzione per prevenire questo problema specifico, ma l’efficacia dipende dall’applicazione degli aggiornamenti da parte degli utenti.
Cosa dovrebbero fare gli utenti
I ricercatori hanno ricevuto una ricompensa di 15.000 dollari per la loro scoperta e hanno accettato una finestra di divulgazione di 150 giorni per dare a Google il tempo di distribuire le patch. Nonostante questi sforzi, il team avverte che molti utenti rimangono all’oscuro degli aggiornamenti critici per la sicurezza.
Per proteggersi, gli utenti di dispositivi Bluetooth devono immediatamente:
- Verifica e installa gli ultimi aggiornamenti firmware dal produttore del dispositivo.
- Prestare attenzione quando si associano nuovi dispositivi in aree pubbliche o affollate.
- Tieniti informato sugli avvisi di sicurezza di Google e di altre società tecnologiche.
“I nostri risultati mostrano come un piccolo “add-on” di usabilità possa introdurre rischi su larga scala per la sicurezza e la privacy di centinaia di milioni di utenti.” – Gruppo di ricerca WhisperPair
Le vulnerabilità evidenziano i compromessi tra comodità e sicurezza nella tecnologia moderna. Se da un lato Fast Pair semplifica l’esperienza dell’utente, dall’altro introduce anche nuovi vettori di attacco che richiedono una vigilanza continua sia da parte dei produttori che dei consumatori.
