La seguretat dels auriculars Bluetooth i dispositius d'àudio sense fil ha passat de ser un tema gairebé anecdòtic a una preocupació molt real. Un conjunt de vulnerabilitats, agrupades sota el nom de WhisperPair, ha destapat fins a quin punt la comoditat de l'aparellament ràpid pot esdevenir una vulnerabilitat en auriculars Bluetooth i un seriós problema de privadesa i seguretat per a milions d'usuaris a tot el món.
Aquestes bretxes afecten el protocol Parell ràpid de Google, la tecnologia que permet connectar amb un toc auriculars, altaveus i altres accessoris Bluetooth a mòbils Android i equips amb ChromeOS. Investigadors de la Universitat KU Leuven, a Bèlgica, han demostrat que, si el sistema s'implementa malament, tercers poden segrestar els auriculars, activar el micròfon i, en alguns casos, rastrejar la ubicació de l'usuari sense que aquest s'assabenti.
Què és WhisperPair i per què afecta Fast Pair
L'estudi batejat com WhisperPair part d'una idea molt senzilla: analitzar com s'està aplicant a la pràctica el protocol Fast Pair de Google en auriculars i altaveus comercials. Aquest sistema, introduït el 2017, va néixer perquè l'usuari pogués aparellar un accessori Bluetooth només apropant-lo al mòbil, sense haver de navegar per menús ni introduir codis.
El problema apareix quan els fabricants no respecten tots els passos de seguretat que exigeix el protocol. Segons els investigadors de KU Leuven, molts accessoris ometen una comprovació crítica: ignorar les peticions d'aparellament ràpid quan el dispositiu no està en mode de vinculació. En no fer aquesta verificació, l'auricular accepta sol·licituds que mai no hauria d'acceptar.
A la pràctica, això permet que un atacant proper enviï un missatge de Fast Pair als auriculars i, després de rebre la resposta del dispositiu vulnerable, completeu un aparellament Bluetooth “normal” sense que l'usuari intervingui. A partir de llavors, l'atacant té una porta oberta al dispositiu d'àudio.
Els investigadors expliquen que aquest error d'implementació no és un problema aïllat, sinó una família de vulnerabilitats que han detectat en almenys 17 models d'àudio de deu fabricants diferents, tots compatibles amb Fast Pair.
Què pot fer un atacant amb els teus auriculars Bluetooth
Les proves fetes per l'equip de KU Leuven mostren un escenari preocupant. Amb un maquinari relativament senzill (per exemple, un miniordinador tipus Raspberry Pi) i situant-se dins del rang de Bluetooth, un atacant pot forçar l'aparellament silenciós dels auriculars en menys de 15 segons.
Un cop aconseguit aquest vincle, el control sobre el dispositiu és gairebé total. Entre les accions possibles, els investigadors detallen que es pot:
- Injectar àudio a través dels auriculars o altaveus de la víctima, fins i tot a volum molt alt.
- Interrompre o manipular trucades i altres reproduccions dàudio.
- Prendre el control dels micròfons integrats per escoltar l'entorn físic de l'usuari sense que aquest noti res.
- Rastrejar la ubicació del dispositiu en determinats models compatibles amb la xarxa de cerca de Google.
Els assaigs es van dur a terme a una distància de fins 14 metres (uns 46 peus), suficients perquè un atacant pugui operar des de la mateixa habitació, des d'un local contigu o fins i tot des del carrer, segons la disposició de l'espai. La clau és que l'usuari no necessita fer res: el procés s'executa en segon pla i l'auricular continua funcionant amb normalitat aparent.
En paraules dels investigadors, quan l'atac té èxit, “l'atacant passa a ser, de facto, el propietari del dispositiu”. Podeu pujar o baixar el volum, tallar l'àudio, gravar converses o convertir uns simples cascos en un micròfon discret d'escolta remota.
El risc afegit del rastreig mitjançant la xarxa Find Hub
Més enllà de l'escolta o la manipulació d'àudio, una de les derivades més delicades de WhisperPair té a veure amb el rastreig físic de l'usuari. Alguns auriculars i dispositius d'àudio són compatibles amb la xarxa de localització de Google, coneguda com Troba el centre, pensada per trobar accessoris perduts.
El disseny previst és que el propietari registri els seus auriculars al compte de Google i, si els extravia, altres dispositius Android propers col·laborin de forma anònima enviant la seva posició. Tot i això, els investigadors han demostrat que, en determinats models vulnerables, un atacant pot registrar al vostre nom uns auriculars que encara no estiguin associats a cap compte.
Aquest moviment converteix els cascos en una balisa de rastreig permanent. L'agressor pot consultar la seva ubicació al mapa i seguir els desplaçaments de la víctima durant llargs períodes. Per més inri, si el sistema envia una alerta de traça no desitjada, aquesta pot resultar confusa: tècnicament el dispositiu figura com a propietat de qui el va registrar, cosa que facilita que la persona vigilada ignori l'avís.
Conscients de l'abast d'aquest problema, asseguren haver aplicat des de Google canvis en la gestió de la xarxa Find Hub per impedir que s'activi en aquest escenari concret. Segons la companyia, aquesta mitigació elimina el vector de rastreig associat a WhisperPair en tots els dispositius, encara que continua sent imprescindible actualitzar el microprogramari dels auriculars afectats.
Marques afectades i abast global de la vulnerabilitat
Les proves de laboratori han posat el focus en accessoris d'àudio de marques molt populars a nivell internacional, també presents a Espanya i la resta d'Europa. Entre les companyies afectades apareixen noms com Sony, JBL, Harman, Jabra, Marshall, Xiaomi, Nothing, OnePlus, Soundcore, Logitech i la pròpia Google, Entre altres.
En total, l'equip de KU Leuven ha identificat vulnerabilitats compatibles amb WhisperPair almenys 17 models diferents pertanyents a deu fabricants. No tots els dispositius es veuen afectats de la mateixa manera: en alguns l'atacant pot agafar el control total de l'àudio, mentre que en d'altres, a més, és possible aprofitar la integració amb Find Hub per rastrejar-ne la ubicació.
El que és més preocupant és l'escala. Fast Pair s'ha convertit en un estàndard de facto a l'ecosistema Android i ChromeOS, per la qual cosa es compten per centenars de milions els auriculars i altaveus compatibles que podrien estar en risc si els seus fabricants no han llançat o aplicat els pegats corresponents.
A més, el problema no es limita a usuaris d'Android. Qualsevol persona que utilitzi uns auriculars vulnerables, encara que es connecti habitualment des d'un iPhone o un altre dispositiu, es pot veure afectada per l'atac, ja que la baula feble és l'accessori, no el telèfon.
La resposta de Google i dels fabricants
Després de rebre l'informe de KU Leuven a l'estiu, Google va reconèixer formalment l'existència de les vulnerabilitats a Fast Pair i va classificar la principal com a crítica (CVE-2025-36911). La companyia va treballar amb els investigadors dins de la seva Programa de Recompenses per Vulnerabilitats, abonant 15.000 dòlars per la troballa i acordant un termini de 150 dies abans de la divulgació pública completa.
Durant aquest període, Google afirma haver-hi actualitzat el programari de diversos dels seus propis productes dàudio, Inclosos els Pixel Buds Pro, i haver enviat notificacions tècniques als fabricants implicats, almenys des del setembre, perquè ajustessin les seves implementacions de Fast Pair. Alguns d'aquests proveïdors han començat a distribuir firmware corregit per als seus models.
A les seves declaracions públiques, l'empresa insisteix que no hi ha evidències d'explotació de WhisperPair fora d'entorns de laboratori i recalca que estan “avaluant i millorant de manera contínua la seguretat de Fast Pair i Find Hub”. També subratllen que part del problema és perquè certs fabricants no van seguir al peu de la lletra les especificacions del protocol.
Paral·lelament, s'han alliberat actualitzacions de seguretat a Android, Wear OS i dispositius Google Pixel, on es detallen els pegats relacionats amb Fast Pair. Tot i això, aquestes mesures de Google no són suficients per si soles: la porta d'entrada continua sent l'auricular i cada marca ha de publicar i impulsar les seves pròpies actualitzacions de microprogramari.
El gran oblidat: actualitzar el microprogramari dels auriculars
Un dels punts en què més insisteixen els investigadors és a l'enorme desconeixement que existeix sobre el microprogramari dels auriculars Bluetooth. Molts usuaris ni tan sols són conscients que els seus cascos tenen un programari intern actualitzable, més enllà de lapp que utilitzen per configurar el so.
A diferència de mòbils i ordinadors, que solen avisar de manera insistent quan hi ha una nova versió disponible, els accessoris dàudio no sempre mostren notificacions clares. En molts casos, per saber si hi ha una actualització cal obrir l'app oficial i cercar manualment a l'apartat corresponent.
Això provoca que, tot i que els fabricants publiquen pegats de seguretat per a WhisperPair, molts usuaris segueixin exposats durant mesos o anys simplement perquè mai no han instal·lat l'aplicació de la marca o no han entrat a revisar les opcions d'actualització.
Els investigadors de KU Leuven han posat a disposició del públic una eina al web on es pot consultar si un model concret d'auriculars o altaveu està afectat i quins passos seguir per actualitzar-lo. Insisteixen que “l'única manera d'evitar atacs de WhisperPair és instal·lar un pegat de programari emès pel fabricant”.
Impacte al dia a dia: de l'oficina al transport públic
Més enllà dels detalls tècnics, el que converteix WhisperPair en un assumpte delicat és el seu impacte en situacions quotidianes. Avui dia s'utilitzen auriculars sense fil per a tot: videotrucades de treball, classes en remot, entrenar al gimnàs, viatjar amb transport públic o simplement passejar per la ciutat escoltant música o pòdcasts.
En molts contextos es comparteixen converses privades o informació sensible que, si es capturen a través del micròfon dels cascos, poden resultar de gran interès per a atacants, curiosos o fins i tot assetjadors. El fet que l'atac es pugui dur a terme a diversos metres de distància i en qüestió de segons fa que un entorn aparentment segur deixi de ser-ho.
L'estudi també ha revifat el debat, especialment a Europa i als Estats Units, sobre la seguretat real dels dispositius sense fil davant dels de cable. No és la primera vegada que figures públiques o experts en intel·ligència recomanen utilitzar auriculars amb cable en reunions confidencials o desplaçaments, precisament per reduir aquest tipus de riscos.
WhisperPair no vol dir que tot ús d'auriculars Bluetooth sigui insegur, però sí que apunta a una conclusió clara: tractar aquests dispositius com a “gadgets innocus” és un error. Al capdavall, porten micròfons i mantenen una connexió activa amb el mòbil, la tauleta o l'ordinador.
Com saber si els teus auriculars són vulnerables
Per als usuaris que no volen entrar en tecnicismes, el dubte principal és molt directe: estan els meus auriculars afectats per WhisperPair? Tot i que cada marca gestiona la informació de manera diferent, hi ha diversos passos bàsics que cal seguir.
En primer lloc, els investigadors han publicat un catàleg en línia de models provats on es pot buscar per fabricant i producte. L'eina indica si el dispositiu és vulnerable, si hi ha pegat o si no s'ha detectat cap problema. És un bon punt de partida per a qui tingui uns cascos relativament recents de marques conegudes.
En segon lloc, és recomanable consultar la pàgina de suport de la marca (Sony, JBL, Xiaomi, Jabra, Nothing, OnePlus, Harman, Google, etc.) i revisar les notes de versió de les últimes actualitzacions de microprogramari. En molts casos, encara que no es mencioni explícitament “WhisperPair”, es fa referència a millores de seguretat relacionades amb Fast Pair o amb la xarxa de cerca de dispositius.
Finalment, si els teus auriculars són compatibles amb funcions de localització tipus Find Hub i encara no els has vinculat a un mòbil Android, és important registrar-los amb el teu propi compte i mantenir-los actualitzats per reduir el marge de maniobra d'un possible atacant que intenti apropiar-se virtualment de l'accessori.
Bones pràctiques per reduir riscos amb auriculars Bluetooth
Tot i que la correcció definitiva de WhisperPair depèn dels fabricants, els usuaris poden adoptar una sèrie dhàbits senzills que redueixen de manera notable la superfície d'atac dels seus auriculars sense fil.
Entre les recomanacions més repetides per experts i organismes de ciberseguretat destaquen les següents:
- Instal·leu sempre el firmware més recent dels auriculars usant l'app oficial del fabricant.
- Evitar accessoris genèrics o sense suport clar, que poques vegades reben actualitzacions de seguretat.
- Desactivar el Bluetooth al mòbil, tauleta o ordinador quan no s'estigui utilitzant.
- Limitar l'aparellament a llocs públics molt concorreguts, especialment mentre se soluciona el problema a cada model.
- Revisar quins dispositius estan aparellats de manera habitual i eliminar aquells que no es reconeguin.
Aquestes mesures no fan miracles, però sí que contribueixen a reduir significativament la probabilitat que un atac d'aquest tipus arribi a tenir èxit, sobretot en entorns on hi ha molts desconeguts al voltant, com ara estacions, aeroports, centres comercials o esdeveniments multitudinaris.
Convé recordar a més que mantenir el microprogramari al dia no només aporta seguretat: també millora l'estabilitat de la connexió, la qualitat del so i l'autonomia de la bateria, i fins i tot afegeix funcions noves en alguns models, de manera que l'esforç extra sol valdre la pena.
Tot el que ha passat amb WhisperPair deixa clar que fins i tot els dispositius més petits poden amagar errors amb impacte massiu. La moralitat que extreuen els investigadors és senzilla: els petits “extres” de comoditat, com l'aparellament amb un toc, s'han de dissenyar i aplicar amb el mateix rigor de seguretat que qualsevol altra part del sistema. Per als usuaris, la lliçó passa per no oblidar que els auriculars Bluetooth també són ordinadors en miniatura: si no s'actualitzen i es gestionen amb un mínim de cura, poden acabar sent una finestra oberta a mirades i orelles alienes.
