Prima di procedere
Un gruppo di esperti di sicurezza informatica dell'Università di Lovanio, in Belgio, ha recentemente identificato delle significative vulnerabilità nei dispositivi audio che utilizzano il protocollo Google Fast Pair basato su Bluetooth. Queste falle di sicurezza potrebbero essere sfruttate da malintenzionati per intercettare conversazioni e tracciare la posizione degli utenti.
Google Fast Pair è stato progettato per semplificare e velocizzare il processo di connessione tra cuffie wireless, auricolari e altoparlanti con dispositivi Android e ChromeOS. Tuttavia, la ricerca ha rivelato che questa stessa facilità d'uso può essere abusata da terzi non autorizzati per connettersi a dispositivi vulnerabili, controllarli e, in alcuni casi, monitorare la posizione del proprietario. Sorprendentemente, anche gli utenti di iPhone potrebbero essere a rischio, persino se non hanno mai utilizzato prodotti Google.
Gli studiosi belgi hanno individuato vulnerabilità in ben 17 modelli di dispositivi audio di 10 marchi diversi, tra cui Sony, Jabra, JBL, Marshall, Xiaomi, Nothing, OnePlus, Soundcore, Logitech e Google stessa. L'attacco, soprannominato WhisperPair, richiede solo la presenza del potenziale aggressore nel raggio d'azione del Bluetooth del dispositivo, circa 15 metri, e l'operazione richiede meno di 15 secondi. A seconda del dispositivo compromesso, un hacker potrebbe intercettare o interrompere il flusso audio, interferire con le chiamate telefoniche, riprodurre suoni a piacimento e, in modo più insidioso, attivare i microfoni per ascoltare l'ambiente circostante.
Alcuni dispositivi di Google e Sony sono dotati della funzione di localizzazione Google Find Hub, che permette di tracciare la posizione geografica con elevata precisione. Questo significa che, sfruttando la vulnerabilità, un attaccante potrebbe monitorare gli spostamenti della vittima in tempo reale. I ricercatori hanno segnalato la scoperta a Google nell'agosto dello scorso anno. La società ha risposto divulgando l'incidente e implementando misure correttive. Tuttavia, il problema persiste a causa della riluttanza di molti utenti ad aggiornare il firmware dei propri dispositivi o a installare le app dei produttori, ignorando di fatto la disponibilità di aggiornamenti di sicurezza. Di conseguenza, l'attacco WhisperPair potrebbe rimanere efficace per mesi o addirittura anni.
Google ha rilasciato aggiornamenti del firmware per gli accessori audio interessati e ha modificato il funzionamento di Android Find Hub per impedire il tracciamento non autorizzato. Ciononostante, i ricercatori belgi hanno già trovato un modo per aggirare queste nuove protezioni. Per eseguire l'attacco, un hacker deve trovarsi nel raggio Bluetooth del dispositivo vulnerabile ed essere in possesso del Model ID, un identificativo univoco per ciascun modello, ottenibile tramite le API Google. Durante i test, i ricercatori sono riusciti a connettersi a 25 dispositivi già associati tramite Fast Pair di 16 produttori diversi utilizzando un computer Raspberry Pi 4 a una distanza di circa 14 metri. La maggior parte dei dispositivi è risultata vulnerabile e l'attacco ha richiesto solo 10-15 secondi.
Se il dispositivo non è stato precedentemente collegato a un account Google, un attaccante potrebbe associarlo al proprio account durante l'attacco WhisperPair e monitorare la vittima tramite Google Find Hub. La vittima potrebbe non accorgersi di nulla, attribuendo eventuali avvisi di tracciamento delle proprie cuffie a un errore del sistema. Disabilitare Fast Pair non è possibile, anche se non lo si utilizza mai, e il ripristino delle impostazioni di fabbrica costringerebbe solo l'aggressore a ripetere l'operazione.
La vulnerabilità all'attacco WhisperPair potrebbe derivare da errori nell'implementazione dello standard tecnico Fast Pair da parte dei produttori di dispositivi e dei chip utilizzati. Google offre un'applicazione di validazione per verificare l'implementazione di Fast Pair e testa i dispositivi compatibili nei propri laboratori prima della produzione in serie. Tuttavia, secondo i ricercatori belgi, tutti i dispositivi testati erano certificati da Google, il che implica che l'azienda li aveva ritenuti conformi ai requisiti. Dopo aver appreso del problema, Google ha affermato di aver aggiunto nuovi test alla procedura di verifica di Fast Pair.
Indipendentemente dalla causa, i ricercatori sottolineano che l'implementazione di meccanismi di crittografia e il blocco dell'associazione secondaria senza autenticazione risolverebbero il problema. Hanno anche creato un sito web con un elenco dei modelli vulnerabili, invitando i proprietari ad aggiornare il firmware. È importante notare che il protocollo Bluetooth stesso non presenta vulnerabilità; il problema risiede specificamente nell'implementazione di Fast Pair.
