WhisperPair: Una vulnerabilidad que permite espiar víctimas con BlueTooth Headset

El mundo de los "Cascos con micrófono", los famosos "Headset" Bluetooth, me ha llamado la atención desde el día uno que tuve los AirPods de Apple. Entonces, jugando con ellos escribí un artículo que se llamaba: "AirPods Pro: Unas pruebas en casa de Safety & Security" donde vi que había algunas cosas que nos estaban bien, por lo que escribí el artículo de "AirPodsSpy: Cómo te pueden vigilar por tus AirPods" que generó mucho ruido. Tiempo después, Apple mejoró algunas de las cosas que yo os decía que tenía que mejorar, y os lo publiqué en el artículo: "Apple arregla el AirPod "Spy" añadiendo alertas de seguridad y permitiendo Find My por Internet".

Figura 1: WhisperPair: Una vulnerabilidad que permite

espiar víctimas con BlueTooth Headset

Todo esto os lo cuento, porque es la razón por la que me ha encantado el trabajo de WhisperPair, donde unos investigadores han descubierto cómo muchas de las implementaciones que están haciendo los fabricantes de "Headset" Bluetooth del protocolo de Google Fast Pairing para conectar sus cascos con los dispositivos Android, no es completo.

Figura 2: WhisperPair

Para entender la vulnerabilidad hay que entender que el sistema de Android - igual que el de iPhone - tiene dos procesos distintos. El primero de ellos es el de Conectar un Headset Bluetooth, y el segundo de ellos es del Parear un Headset Bluetooth, que parece lo mismo, pero no lo es. El primero de ellos es, permite que unos "Headset" se utilicen en un dispositivo Android. Este es un proceso sencillo que seguro que muchos habéis hecho. Y pueden ser tus cascos o los cascos de otro. No pasa nada.

Figura 3: Google Fast Pair Service

Lo único que pasa es que el dueño, gracias a la red de localización de dispositivos basada en los terminales Android - igual que Apple hace con sus iPhone - el dueño puede localizar dónde se encuentra su dispositivo porque los terminales Android reportan los dispositivos Bluetooth que ellos ven a su alrededor. Una red mundial para localizar cualquier dispositivo.

He aquí el punto: los Bluetooth Headset pueden funcionar sin tener ningún dueño.

¿Y esto es un problema? No lo sería si un atacante no pudiera forzar un dispositivo remotamente a Parearse con una cuenta de Google controlada por el espía, sin necesidad tan siquiera de tocar el dispositivo. Esto es lo que permite muchas implementaciones incompletas del protocolo Google Fast Pair que permite parear una cuenta de Google con un nuevo dispositivo - no registrado previamente por nadie - con un solo mensaje.

Figura 4: Una vez que se parea, se puede localizar

usando Google "Find Hub" network

Y esto es lo que han demostrado los investigadores. Con la herramienta de WhisperPair, lo que demuestran en el vídeo que han publicado es cómo, a distancia, se pueden escanear los dispositivos, y enviarles una petición de Pairing. Si el dispositivo responde a ese paquete, porque el "Headset" está abierto, lo único que tiene que hacer el atacante es terminar el proceso de Pairing haciendo una conexión.

Figura 5: Demostración de WhisperPair

Así que, estando hasta una distancia de 14 metros de la víctima, se puede hacer este escaneo, este "Hijaking" o secuestro del dispositivo, y luego el pareo para terminar de controlarlo. Y el resto... pues os lo podéis imaginar. Utilizando la red de Google "Find Hub", es posible saber en todo momento que se solicite donde está ese dispositivo, ya que el atacante es el dueño del dispositivo, y Google se lo va a decir.

Figura 6: La víctima recibirá una alerta, pero es de dónde se encuentra.

Pero además, por supuesto, si está en la cercanía, se puede conectar al HeadSet y activar lo que se está haciendo, así que se puede escuchar lo que se está diciendo en una determinada sala. Esto lo hice yo con mis hijas con los AirPods en el artículo de Safety & Security, donde explicaba cómo se pueden configurar estos "cascos" en modo escucha.

Figura 7: CVE-2025-36911

En definitiva, la vulnerabilidad fue reportada en Agosto del 2025, recibió el CVE-2025-36911 y Google tiene disponible para que los fabricantes puedan validar sus implementaciones la herramienta Google Fast Pair Validator, que los fabricantes pueden utilizar para comprobar que no son vulnerables a este tipo de ataque. 

Figura 8: Google Fast Pair Validator

Este tipo de vulnerabilidades, que afectan a la privacidad de las personas, y que pueden permitir a un atacante controlar remotamente a su víctima, son muy peligrosas, porque pueden suponer un riesgo para la integridad física de la persona, así que hay que tomárselas muy en serio.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  

Cyber-espía ruso grabado en webcam con su malware

Infectarse con un malware con el que estás jugando es lo más común - aún tengo disco de 5 1/4 infectados con todo mi amor -. De hecho creo que las instantáneas en el sistema operativo y en las máquinas virtuales se debieron crear solo por eso. Sin embargo, que te infecten otros a través de tu propio malware ya es un poco más enrevesado. Sobre todo si quien lo haces es un gobierno al que estás espiando y robando información.

Esta es la historia que cuenta el CERT de Georgia que ha publicado las imagenes de un "supuesto" atacante que estaba robando datos sensibles del gobierno para venderlos a las mafias y agencias de inteligencia relacionadas con el gobierno ruso. 

Detectaron la actividad de este atacante, según informa Tech News World, en Marzo de 2011 y desde entonces descubrieron que había infectado 390 equipos para robar información. El malware lo había incrustado en un formato de documento XDP (XML Data Package) que permite representar documentos PDF como ficheros XML y no levanta tantas alertas como un adjunto en PDF. 

Según cuentan la historia, el equipo del CERT de Georgia descubrió en qué equipos había instalado el malware y le hizo comer su propia medicina poniéndole un documento en uno de ellos con su propio malware. Cuando el atacante abrió el documento se infectó con su malware y el CERT activó la webcam para sacar esta bonitas fotos.

Figura 1: Un gran FAIL para un cyber-espía

Al final, cuando yo insisto en que lo mejor es poner la cinta en la webcam es por algo, ya que nunca estás 100% seguro cuando la protección es por software, y al final puedes acabar saliendo sexy en cualquier botnet.

Saludos Malignos!

Espía informático ruso trabajando en Microsoft, quiero decir, Spectra

La historia tiene tintes hollywoodienses pero cuanto más leo de ella más me atrapa. Que soy un fan de las pelis de espías se ve en cuanto miras hacia una estantería y están todas las películas edición coleccionista de James Bond, las tiras de prensa originales, los libros e incluso los manuales de juego de Rol de James Bond.

Sí, los espías me atrapan. Estos que son capaces de inmiscuirse en las misiones más peligrosas con los ingenios más sofisticados. Esos que se construyen una doble identidad cada cierto día. Aun me acuerdo de mi gran “cagada” con ellos. Las misiones molan. Alias me atrapó tanto que hasta le dedicamos un Reto Hacking a la serie de espías.

Por eso, cuando apareció la historia en las noticias, me dejó cautivado. Muchos habréis visto en las noticias el intercambio de espías apresados que se hizo entre la antigua URSS y los USA. De película. Sin dar ninguna información extra del proceso negociador, se bajan unos tipos de un avión, se suben a otro y cada uno a su casa.

Hasta ese momento se sabía que 10 agentes rusos habían sido capturados, desenmascarados y deportados por espionaje, pero luego han aparecido algunos más. Entre ellos un ex empleado de Spectra que había sido Software Tester en la central de la compañía del Windows en Seattle. Al parecer, los rusos habían metido un equipo en los USA que querían instalar software con capacidades de espionaje, tal y como comenta Business Week en su artículo.

El agente que trabajaba en Spectra, según su página personal en Facebook (¿Será este el mismo Alexey Karetnikov?) había trabajado en una empresa llamada OOO Neobit que lista entre sus partners al Federal Security Service, ex KGB. Más tema para las redes sociales y los espías.
El caso es que el Andrey Bezrukov, uno de los miembros de la red de espías, estaba intentando colocar su software en empresas americanas para, según se sospecha, permitir el acceso a sus servidores desde Moscú. La historia tiene tintes dramáticos y recuerda a los episodios APT (Advance Permanent Threat) de Google con el gobierno Chino.

En medio de toda esta vorágine de noticas entre espionaje ruso y americano, Spectra ha llegado a un acuerdo con el gobierno ruso de compartición de código. Este acuerdo le permite a los miembros del gobierno de la antigua URSS inspeccionar el código de Windows 7 y Windows Server 2008. Este programa ya tienen entre sus miembros a muchos de los países “socios” de los Estados Unidos, tales como España, que disfruta de acceso al código de Windows, de Office y del software de virtualización.

La compartición de código con los rusos, para los más conspiranoicos es una atrocidad, pero Spectra hace primar la confianza de sus clientes a la paranoia. ¿Se sentirán cómodos muchos sectores militares del gobierno sabiendo que el código que corre en muchos de sus sistemas está en manos de los rusos? ¿A que suena a película de Bond?

Saludos Malignos!