Google diseñó el protocolo inalámbrico Fast Pair para simplificar la conexión de dispositivos Bluetooth con Android y ChromeOS mediante un solo toque. Sin embargo, investigadores de la Universidad KU Leuven, en Bélgica, identificaron vulnerabilidades que permiten a atacantes emparejarse de forma silenciosa con audífonos y altavoces compatibles, exponiendo a los usuarios a un posible hackeo, espionaje y rastreo sin consentimiento.

El hallazgo afecta a 17 accesorios de audio comercializados por 10 empresas, entre ellas Sony, Jabra, JBL, Marshall, Xiaomi, Nothing, OnePlus, Soundcore, Logitech y Google. Las fallas, denominadas de forma conjunta WhisperPair, permiten que cualquier persona dentro del alcance Bluetooth —unos 15 metros, según las pruebas— tome control de dispositivos ya emparejados previamente con su propietario.

¿Qué es WhisperPair y cómo permite el acceso no autorizado?

Las vulnerabilidades se aprovechan de fallos en la implementación de Fast Pair. Aunque la especificación de Google indica que un dispositivo no debería aceptar nuevos emparejamientos mientras ya está conectado, los investigadores comprobaron que los modelos analizados sí lo permiten. Esto habilita un emparejamiento silencioso sin alertas visibles para el usuario.

Una vez logrado el acceso, un atacante puede interrumpir transmisiones de audio, reproducir sonidos a volumen arbitrario o activar micrófonos para escuchar el entorno de la víctima sin ser detectado, dependiendo del modelo afectado, de acuerdo con lo reseñado por el portal WIRED .

¿Qué riesgos existen para la privacidad y la ubicación del usuario?

Algunos dispositivos compatibles con Find Hub, la función de geolocalización de Google, presentan un riesgo adicional. En ciertos audífonos de Google y Sony que no estaban previamente vinculados a una cuenta de Google, un atacante podría asociarlos a su propia cuenta y rastrear los movimientos del usuario objetivo. Este escenario puede darse incluso cuando la víctima utiliza un iPhone y nunca ha tenido un producto de Google.

Los investigadores advierten que, aunque el sistema puede enviar alertas de rastreo no deseado, estas podrían inducir a error, ya que la notificación indicaría que es el propio dispositivo del usuario el que lo sigue.

¿Qué medidas han tomado Google y los fabricantes afectados?

Google publicó un aviso de seguridad y afirmó haber trabajado con los investigadores para corregir las fallas, además de señalar que no hay pruebas de explotación fuera de entornos de laboratorio. La empresa indicó que lanzó parches para sus propios dispositivos y una actualización de Find Hub en Android, aunque los investigadores aseguraron haber encontrado formas de eludir ese parche.

Varios fabricantes confirmaron el despliegue o preparación de actualizaciones de seguridad, generalmente a través de aplicaciones propias. No obstante, los investigadores advierten que muchos usuarios no instalan estas apps ni actualizan el firmware, lo que podría prolongar la exposición a WhisperPair durante meses o incluso años.