Sigue El lado del mal en Telegram
Chema Alonso en Threads
Chema Alonso en Mastodon
Chema Alonso 3DAIS
Chema Alonso en BSKY
Chema Alonso en Linkedin
DragonJAR
8.8 Chile
Ekoparty
e-Hack MX 
AREA 51 
Comunidad Dojo Panamá 
ARPAHE SOLUTIONS 
WhisperPair: Una vulnerabilidad que permite espiar víctimas con BlueTooth Headset
El mundo de los "Cascos con micrófono", los famosos "Headset" Bluetooth, me ha llamado la atención desde el día uno que tuve los AirPods de Apple. Entonces, jugando con ellos escribí un artículo que se llamaba: "AirPods Pro: Unas pruebas en casa de Safety & Security" donde vi que había algunas cosas que nos estaban bien, por lo que escribí el artículo de "AirPodsSpy: Cómo te pueden vigilar por tus AirPods" que generó mucho ruido. Tiempo después, Apple mejoró algunas de las cosas que yo os decía que tenía que mejorar, y os lo publiqué en el artículo: "Apple arregla el AirPod "Spy" añadiendo alertas de seguridad y permitiendo Find My por Internet".
Todo esto os lo cuento, porque es la razón por la que me ha encantado el trabajo de WhisperPair, donde unos investigadores han descubierto cómo muchas de las implementaciones que están haciendo los fabricantes de "Headset" Bluetooth del protocolo de Google Fast Pairing para conectar sus cascos con los dispositivos Android, no es completo.
Para entender la vulnerabilidad hay que entender que el sistema de Android - igual que el de iPhone - tiene dos procesos distintos. El primero de ellos es el de Conectar un Headset Bluetooth, y el segundo de ellos es del Parear un Headset Bluetooth, que parece lo mismo, pero no lo es. El primero de ellos es, permite que unos "Headset" se utilicen en un dispositivo Android. Este es un proceso sencillo que seguro que muchos habéis hecho. Y pueden ser tus cascos o los cascos de otro. No pasa nada.
Lo único que pasa es que el dueño, gracias a la red de localización de dispositivos basada en los terminales Android - igual que Apple hace con sus iPhone - el dueño puede localizar dónde se encuentra su dispositivo porque los terminales Android reportan los dispositivos Bluetooth que ellos ven a su alrededor. Una red mundial para localizar cualquier dispositivo.
He aquí el punto: los Bluetooth Headset pueden funcionar sin tener ningún dueño.
¿Y esto es un problema? No lo sería si un atacante no pudiera forzar un dispositivo remotamente a Parearse con una cuenta de Google controlada por el espía, sin necesidad tan siquiera de tocar el dispositivo. Esto es lo que permite muchas implementaciones incompletas del protocolo Google Fast Pair que permite parear una cuenta de Google con un nuevo dispositivo - no registrado previamente por nadie - con un solo mensaje.
Y esto es lo que han demostrado los investigadores. Con la herramienta de WhisperPair, lo que demuestran en el vídeo que han publicado es cómo, a distancia, se pueden escanear los dispositivos, y enviarles una petición de Pairing. Si el dispositivo responde a ese paquete, porque el "Headset" está abierto, lo único que tiene que hacer el atacante es terminar el proceso de Pairing haciendo una conexión.
Figura 5: Demostración de WhisperPair
Así que, estando hasta una distancia de 14 metros de la víctima, se puede hacer este escaneo, este "Hijaking" o secuestro del dispositivo, y luego el pareo para terminar de controlarlo. Y el resto... pues os lo podéis imaginar. Utilizando la red de Google "Find Hub", es posible saber en todo momento que se solicite donde está ese dispositivo, ya que el atacante es el dueño del dispositivo, y Google se lo va a decir.
Pero además, por supuesto, si está en la cercanía, se puede conectar al HeadSet y activar lo que se está haciendo, así que se puede escuchar lo que se está diciendo en una determinada sala. Esto lo hice yo con mis hijas con los AirPods en el artículo de Safety & Security, donde explicaba cómo se pueden configurar estos "cascos" en modo escucha.
En definitiva, la vulnerabilidad fue reportada en Agosto del 2025, recibió el CVE-2025-36911 y Google tiene disponible para que los fabricantes puedan validar sus implementaciones la herramienta Google Fast Pair Validator, que los fabricantes pueden utilizar para comprobar que no son vulnerables a este tipo de ataque.
Este tipo de vulnerabilidades, que afectan a la privacidad de las personas, y que pueden permitir a un atacante controlar remotamente a su víctima, son muy peligrosas, porque pueden suponer un riesgo para la integridad física de la persona, así que hay que tomárselas muy en serio.
¡Saludos Malignos!
Autor: Chema Alonso (Contactar con Chema Alonso)
