Milions d'auriculars sense fil poden ser hackejats per culpa de Google i el protocol Fast Pair

Una implementació defectuosa del protocol Fast Pair de Google ha afectat centenars de milions de dispositius d'àudio Bluetooth amb vulnerabilitats crítiques. L'atac conegut com WhisperPair, ha deixat en evidència com la democratització dels protocols de connexió ràpida ha prioritzat la gratificació immediata sobre la robustesa de l'enllaç.

Marques de renom com Sony, Bose, OnePlus, Jabra, Xiaomi i la mateixa Google han estat assenyalades per tenir models vulnerables. El problema és sistèmic: Google proporciona l'especificació, però la validació i certificació del compliment de les normes de seguretat semblen haver fallat en múltiples nivells de la cadena de producció.

WhisperPair: privacitat en risc

El protocol Fast Pair utilitza Bluetooth Low Energy (BLE) per emetre un senyal que els telèfons Android propers capten immediatament. En condicions normals, un accessori només hauria d'acceptar sol·licituds de vinculació quan l'usuari activa físicament el "mode d'aparellament". Tanmateix, investigadors de la Universitat KU Leuven a Bèlgica van descobrir que una enorme quantitat de dispositius certificats per Google ignoren aquest pas fonamental.

La fallada permet que un atacant a menys de 14 metres de distància force una connexió amb els auriculars, fins i tot si aquests ja estan sent utilitzats pel propietari legítim. En no rebutjar les peticions d'enllaç externes, el dispositiu es torna vulnerable a un "segrest" digital en qüestió de segons (aprox. 15 segons segons les proves de laboratori), sense que l'usuari hagi d'interactuar amb cap botó.

Tenir el control dels auriculars d'una altra persona els ha exposat a riscos greus com:

• Escolta remota: Un atacant pot activar els micròfons integrats dels auriculars per escoltar converses ambientals de l'usuari.
• Injecció d'àudio: Es poden reproduir sons o missatges manipulats directament a l'oïda de la víctima.
• Rastreig d'ubicació: Si l'atacant és el primer a vincular els auriculars al seu propi compte de Google mitjançant aquesta fallada, pot utilitzar la xarxa Find My Device (Trobar el meu dispositiu) de Google per rastrejar la ubicació física de l'usuari de forma indefinida.

Google ha catalogat aquesta vulnerabilitat sota el codi CVE-2025-36911 amb una severitat crítica. Tot i que la companyia afirma haver treballat amb els fabricants per distribuir correccions des del setembre passat, la solució real recau en l'anella més feble: l'actualització del firmware.

A diferència d'un sistema operatiu mòbil que s'actualitza gairebé automàticament, molts usuaris mai connecten els seus auriculars a les aplicacions oficials del fabricant per buscar pegats de seguretat. Això deixa una finestra d'exposició massiva que podria durar anys. De moment, la recomanació és verificar i actualitzar el programari immediatament en els teus dispositius amb Fast Pair.