Una nuova vulnerabilità mette in difficoltà diversi produttori di audio wireless: ricercatori hanno individuato falle nel protocollo Fast Pair di Google che espongono cuffie e auricolari di marchi come Sony, Anker e Nothing ad accessi indesiderati. Il problema coinvolge modelli molto diffusi e apre scenari che richiedono interventi rapidi e aggiornamenti dedicati.La scoperta arriva dal gruppo di sicurezza informatica della KU Leuven, che ha mostrato come un attacco denominato WhisperPair possa portare all’ascolto dei microfoni, alla manipolazione dell’audio e persino al tracciamento tramite la rete Trova di Google. Il protocollo Fast Pair nasce per velocizzare l'abbinamento via Bluetooth, soprattutto su dispositivi Android e ChromeOS. I ricercatori hanno però verificato che molti prodotti non rispettano una specifica fondamentale: non dovrebbero accettare una nuova associazione mentre risultano già collegati a un altro dispositivo.Questa leggerezza permette a un aggressore nel raggio del Bluetooth di forzare l’abbinamento con cuffie, auricolari o speaker che implementano Fast Pair in modo errato. Nei test eseguiti su oltre due dozzine di modelli, WhisperPair ha funzionato su 17 dispositivi, consentendo di inviare audio a qualsiasi volume, intercettare chiamate e ascoltare i microfoni dei prodotti vulnerabili.Il fenomeno riguarda anche chi usa questi accessori con iPhone, nonostante Fast Pair sia una funzione legata all’ecosistema Google. L’attacco sfrutta infatti il modo in cui i dispositivi gestiscono l’abbinamento, indipendentemente dallo smartphone utilizzato. Una parte ancora più delicata della vicenda riguarda cinque modelli Sony e i Pixel Buds Pro 2. Se non sono mai stati associati a un dispositivo Android e collegati a un account Google, un aggressore può abbinarli e registrarli come propri, ottenendo i privilegi del presunto "proprietario" all’interno della rete Trova.In questo scenario, l’accessorio diventa una sorta di tag di localizzazione non autorizzato. Se le notifiche dello smartphone che avvisano del rilevamento anomalo vengono ignorate, l’utente rischia di venire seguito nei propri spostamenti sfruttando i dati della rete Trova.La lista dei prodotti coinvolti comprende modelli molto popolari, come Sony WH-1000XM6, WH-1000XM5, WH-1000XM4, oltre a Nothing Ear (a), OnePlus Nord Buds 3 Pro e Anker Soundcore Liberty 4 NC. Gli esperti hanno segnalato le vulnerabilità a Google nell'agosto 2025. Il mese successivo, l'azienda ha fornito indicazioni ai produttori per correggere i problemi e ha aggiornato i requisiti di certificazione per evitare situazioni analoghe in futuro. Nella comunicazione ufficiale, Google afferma di non aver rilevato exploit al di fuori dei test di laboratorio.Secondo quanto riportato, gli aggiornamenti software disponibili risolvono tutte le falle Fast Pair, mentre Google ha implementato anche un intervento sulla rete Trova per arginare il tracciamento dei dispositivi non ancora aggiornati. I ricercatori però hanno aggirato questa protezione nel giro di poche ore, utilizzando firmware non aggiornati forniti dai produttori.E poi c'è OnePlus che, tramite il proprio responsabile comunicazione per il Nord America, ha dichiarato di stare verificando la questione e di voler adottare misure adeguate per tutelare la sicurezza degli utenti.In attesa dei vari aggiornamenti, Fast Pair non offre alcun comando per essere disattivato. L'unico modo per evitare gli attacchi WhisperPair è l'installazione delle patch rilasciate dai produttori.L'articolo La falla nelle cuffie Sony, Anker e Nothing che permette di spiarti sembra essere il primo su Smartworld.