Fallo en dispositivos Google Fast Pair permite a hackers espiar

Investigadores de seguridad han descubierto una vulnerabilidad llamada WhisperPair en 17 dispositivos de audio que utilizan el protocolo Google Fast Pair, lo que permite a los hackers acceder a los micrófonos y rastrear ubicaciones dentro del alcance de Bluetooth. La falla afecta a productos de 10 fabricantes, incluidos Sony y Google, y se debe a una implementación inadecuada del estándar de emparejamiento. Google ha colaborado con los investigadores para abordar el problema, aunque las correcciones completas dependen de los socios de hardware.

Un equipo de investigadores de la Universidad KU Leuven de Bélgica reveló la vulnerabilidad WhisperPair el 15 de enero de 2026, que afecta a 17 modelos de auriculares y altavoces certificados para el protocolo Google Fast Pair. Esta función de emparejamiento en un toque, diseñada para simplificar las conexiones Bluetooth, ha sido implementada incorrectamente por algunos socios de hardware, permitiendo emparejamientos no autorizados incluso fuera del modo de emparejamiento. El ataque requiere que un hacker esté dentro del alcance de Bluetooth, hasta 14 metros, y conozca el número de modelo del dispositivo, que es fácil de obtener. Toma una mediana de 10 segundos, o menos de 15 en algunos casos, para secuestrar el dispositivo. Como explicó el investigador de KU Leuven Sayon Duttagupta a Wired: «Estás caminando por la calle con tus auriculares puestos, escuchando música. En menos de 15 segundos, podemos secuestrar tu dispositivo. Lo que significa que puedo activar el micrófono y escuchar el sonido ambiental. Puedo inyectar audio. Puedo rastrear tu ubicación». Una vez conectado, los atacantes pueden interrumpir flujos de audio, reproducir sus propios sonidos, espiar a través del micrófono o usar el Find Hub de Google para rastrear la ubicación del dispositivo. La vulnerabilidad afecta incluso a usuarios no Android si el dispositivo no ha sido vinculado a una cuenta de Google, permitiendo potencialmente a los hackers vincularlo a su propia cuenta. Los investigadores notificaron a Google en agosto de 2025, lo que impulsó una colaboración a través del programa de Recompensas por Vulnerabilidades de la compañía. Google proporcionó correcciones a los socios en septiembre de 2025 y actualizó su red Find Hub, pero el equipo encontró rápidamente una solución alternativa. Un portavoz de Google declaró: «Apreciamos colaborar con investigadores de seguridad... Trabajamos con estos investigadores para corregir estas vulnerabilidades, y no hemos visto evidencia de explotación fuera del entorno de laboratorio de este informe. Como mejor práctica de seguridad, recomendamos a los usuarios que verifiquen que sus auriculares tengan las últimas actualizaciones de firmware». Los fabricantes afectados incluyen Sony, Jabra, JBL, Marshall, Xiaomi, Nothing, OnePlus, Soundcore, Logitech y Google. Los Pixel Buds de Google han recibido parches, mientras que OnePlus está investigando. La falla no se puede desactivar, y muchos usuarios pueden seguir siendo vulnerables sin instalar aplicaciones de los fabricantes para actualizaciones. Los investigadores recomiendan verificar regularmente el firmware y realizar un restablecimiento de fábrica si se sospecha de un compromiso, señalando que no hay exploits conocidos en el mundo real hasta la fecha.

Artículos relacionados

Illustration of a person checking their phone for a spoofed call warning on Android, highlighting Google's new deepfake detection feature.
Imagen generada por IA

Google adds detection for spoofed calls to Android phones

Reportado por IA Imagen generada por IA

Google is rolling out a new feature to Android devices that detects impersonation scams involving spoofed calls. The update targets the rising threat of AI-generated deepfake voices in financial fraud. It begins deploying this month on phones running Android 12 and higher.

A researcher has shown that the Sound Blaster Katana V2X speaker from Creative Technologies can be used to infect a connected computer with malicious commands over Bluetooth. The attack requires no pairing and works even without physical access to the device.

Reportado por IA

A vulnerability in Google Gemini on Android allowed crafted notifications from apps like WhatsApp and Slack to manipulate the AI's responses and connected tools. The issue, discovered by SafeBreach, has been addressed through server-side changes.

Este sitio web utiliza cookies

Utilizamos cookies para análisis con el fin de mejorar nuestro sitio. Lee nuestra política de privacidad para más información.
Rechazar