Belçika merkezli KU Leuven Üniversitesi'nden araştırmacılar, Bluetooth tabanlı ses ürünlerini kullanan milyonlarca kişinin güvenliğini tehdit eden önemli bir zafiyeti ortaya çıkardı. Araştırma, Google'ın Bluetooth cihazlarının hızlı bir şekilde eşleşmesini sağlamak amacıyla geliştirdiği Fast Pair (Hızlı Eşleş) teknolojisinde bulunan açıkların, bazı kulaklık ve ses aksesuarlarının uzaktan ele geçirilmesine ve kullanıcıların izlenmesine olanak tanıdığını gösteriyor.
Güvenlik Açığı ve Etkilediği Cihazlar
Fast Pair teknolojisindeki güvenlik açığı, "WhisperPair" olarak adlandırılan bir sorunla ilişkilendiriliyor. Araştırmacılar, bu açığın hâlâ Sony, JBL, Google ve Anker gibi tanınmış markalara ait bazı ürünleri etkilediğini belirtiyor. Yapılan testlerde, kötü niyetli saldırıların yaklaşık 14 metre mesafeden gerçekleştirilebildiği tespit edilmiştir. Google, açıkların kapatıldığını ve bu sorunların giderildiğini savunsa da, bazı kullanıcıların hâlâ risk altında olduğu görülüyor.
Google'ın Yanıtı ve Kullanıcıların Yapması Gerekenler
Google'dan yapılan açıklamada, Pixel Buds Pro gibi bazı ürünler için yazılım güncellemelerinin yayımlandığı bildirildi. Şirketin bir sözcüsü, açıkların bir kısmının üçüncü taraf üreticilerin Fast Pair standartlarını hatalı uygulamasından kaynaklandığını ve bu firmaların eylül ayında bilgilendirildiğini belirtti. Google, kullanıcıların kulaklık ve ses aksesuarlarında en güncel yazılım sürümlerini kontrol etmeleri gerektiğini vurguladı. Ayrıca, izinsiz konum takibini engelleyen güvenlik düzeltmelerinin de devreye alındığı ifade edildi.
Fast Pair Teknolojisinin Tarihçesi ve Sorunun Temeli
2017 yılında tanıtılan Fast Pair teknolojisi, Bluetooth aksesuarlarının Android ve Chrome cihazlarıyla tek dokunuşla eşleşmesini sağlıyor. Ancak, bu protokolün yanlış uygulanması, kullanıcıların izlenmesine ve cihazların kontrolünün ele geçirilmesine yol açabilecek ciddi bir güvenlik açığına zemin hazırlıyor. ZDNet'in haberine göre, bu açık Ağustos 2025'te Google'a gizli olarak bildirildi ve araştırmacılara 15 bin dolar ödül verildi. Taraflar, Google'ın gerekli yamaları yayımlaması için 150 günlük bir süre üzerinde uzlaştı.
WhisperPair Açığının Çalışma Prensibi ve Riskler
Araştırmacılar, sorunun temelinin birçok ses aksesuarının Fast Pair eşleştirme sürecinde kritik bir güvenlik adımını atlamasından kaynaklandığını belirtiyor. Normal şartlarda, eşleştirme modunda olmayan bir kulaklığın gelen bağlantı taleplerini reddetmesi gerekirken, bazı cihazlar bu denetimi gerçekleştirmiyor. Bu durum, saldırganların izinsiz olarak kulaklıkla eşleşmesine ve ardından standart Bluetooth bağlantısını tamamlayarak cihaz üzerinde tam kontrol sağlamasına olanak tanıyor.
WhisperPair açığı kullanılarak kulaklıkların kontrolü ele geçirilebilir, ses seviyesi gibi ayarlar değiştirilebilir ve dahili mikrofonlar üzerinden yapılan konuşmalar gizlice dinlenebilir veya kaydedilebilir. Araştırmacılar, bu tür saldırıların 14 metreye kadar herhangi bir fiziksel temas olmadan gerçekleştirilebileceğini vurguluyor. Ayrıca, eğer bir cihaz, kayıp eşya bulmaya yarayan Find Hub özelliğini destekliyorsa, ancak henüz bir hesaba tanımlanmamışsa, bu durum saldırganların teorik olarak cihazı kendi Google hesaplarına ekleyerek konum takibi yapmasına da olanak tanıyabilir.
Sonuç Olarak Kullanıcıların Bilinçlenmesi
Güvenlik açığı yalnızca Android cihazlarla sınırlı kalmıyor; savunmasız Bluetooth aksesuarları kullanan iPhone kullanıcıları da bu durumdan etkilenebiliyor. Araştırma ekibi, test edilen popüler kulaklık ve ses aksesuarlarının yer aldığı çevrimiçi bir katalog yayımladı. Kullanıcılar, marka veya ürün adıyla arama yaparak cihazlarının WhisperPair açığına karşı savunmasız olup olmadığını kontrol edebilirler.
