Immagina questo: qualcuno intercetta le tue chiamate, accede ai tuoi contatti o addirittura ascolta le tue conversazioni private, tutto tramite i tuoi auricolari Bluetooth. Sembra fantascienza, vero? Purtroppo, una recente scoperta solleva un allarme preoccupante sulla sicurezza dei nostri dispositivi audio wireless.
Il Rischio è Reale: Hacker Vicini al Tuo Dispositivo
I cybercriminali potrebbero prendere il controllo dei tuoi auricolari o cuffie Bluetooth. Basta che si trovino fisicamente vicino al tuo dispositivo per sferrare l’attacco. Una volta stabilita la connessione, possono intercettare il microfono, rubare le informazioni sulle chiamate e persino inviare comandi al tuo smartphone. Questo significa che la tua riservatezza e la sicurezza del tuo telefono sono a rischio ogni volta che lo colleghi a un dispositivo Bluetooth vulnerabile.
La Rivelazione: Vulnerabilità in Milioni di Dispositivi
Un team di ricercatori tedeschi di Ernw ha smascherato una serie di vulnerabilità critiche in un chip prodotto dalla taiwanese Airoha. Decine di produttori famosi, inclusi Sony, Marshall, Bose, JBL e Jabra, utilizzano questo chip. Di conseguenza, milioni di dispositivi in circolazione sono potenzialmente attaccabili.
Queste falle di sicurezza consentono agli aggressori di bypassare i sistemi di protezione e, sfruttando la connessione con lo smartphone, rubare informazioni sensibili. Sebbene la tecnica di attacco sia complessa, il suo impatto potrebbe rivelarsi devastante, soprattutto negli attacchi mirati per spionaggio o sorveglianza. Giornalisti, attivisti politici e dissidenti, ovvero le categorie più a rischio, dovrebbero preoccuparsi maggiormente.
La Buona Notizia (e la Cattiva): Attacchi Non Ancora Diffusi, Ma Soluzione Lontana
Attualmente, non risultano casi in cui criminali informatici o spie abbiano utilizzato questa tecnica d’attacco. Inoltre, per violare i dispositivi, l’hacker deve trovarsi fisicamente nel raggio di funzionamento del dispositivo Bluetooth.
Tuttavia, le buone notizie finiscono qui. Dal blog di Ernw emerge che questa situazione non si risolverà facilmente. I ricercatori hanno addirittura reso pubbliche le vulnerabilità (CVE-2025-20700, CVE-2025-20701, CVE-2025-20702) prima che fosse disponibile un aggiornamento software in grado di correggere i bug. La “responsible disclosure”, una regola non scritta della cybersecurity, prevede di non diffondere informazioni su una falla di sicurezza prima che sia pronta una soluzione. Nonostante ciò, Ernw ha deciso di accelerare i tempi. Durante la conferenza Troopers e nel post che annunciava la scoperta, i ricercatori hanno comunque minimizzato le informazioni e i dettagli sulle tecniche di attacco.
