Bluetooth kulaklık kullanan milyonlarca kişiyi ilgilendiren ciddi bir güvenlik açığı ortaya çıktı. Belçika merkezli KU Leuven Üniversitesi’nden araştırmacılar, Google’ın Fast Pair (Hızlı Eşleş) teknolojisinde tespit edilen “WhisperPair” adlı güvenlik zafiyetinin bazı kulaklık ve ses aksesuarlarının uzaktan ele geçirilmesine imkân tanıdığını açıkladı.
Euronews’in aktardığı araştırmaya göre, söz konusu açık sayesinde saldırganlar, yazılımı güncellenmeyen Bluetooth kulaklıkları yaklaşık 14 metreye kadar uzaktan hedef alabiliyor. Bu durum, kullanıcıların izlenmesi, cihaz ayarlarının değiştirilmesi ve hatta mikrofonlar üzerinden dinlenmesi gibi ciddi riskleri beraberinde getiriyor.
FAST PAİR AÇIĞI GÜNDEMDE
2017 yılında Android ve Chrome cihazlar için geliştirilen Fast Pair teknolojisi, Bluetooth aksesuarlarının tek dokunuşla eşleştirilmesini sağlıyor. Ancak araştırmacılar, bu protokolün bazı üreticiler tarafından hatalı uygulanmasının büyük bir güvenlik açığına yol açtığını belirtiyor. Normalde eşleştirme modunda olmayan kulaklıkların bağlantı taleplerini reddetmesi gerekirken, bazı cihazların bu kontrolü yapmadığı tespit edildi.
Bu zafiyet, saldırganların izinsiz şekilde kulaklıkla eşleşmesine ve ardından standart Bluetooth bağlantısı kurarak cihaz üzerinde kontrol sağlamasına olanak tanıyor.
HANGİ MARKALAR ETKİLENİYOR?
Araştırmacılar, WhisperPair açığının Sony, JBL, Google ve Anker gibi popüler markalara ait bazı kulaklık ve ses aksesuarlarını hâlâ etkilediğini açıkladı. Testlerde saldırıların tamamen kablosuz şekilde gerçekleştirilebildiği ve herhangi bir fiziksel temas gerektirmediği vurgulandı.
Google ise açıkların büyük bölümünün kapatıldığını savunurken, bazı sorunların üçüncü taraf üreticilerin Fast Pair standartlarını doğru uygulamamasından kaynaklandığını bildirdi. Şirket, bu üreticilerin Eylül ayında bilgilendirildiğini duyurdu.
DİNLEME VE TAKİP RESKİ
WhisperPair açığı yalnızca cihaz kontrolüyle sınırlı kalmıyor. Uzmanlara göre saldırganlar, kulaklıkların dahili mikrofonlarını kullanarak ortam seslerini dinleyebilir veya kaydedebilir. Ayrıca Find Hub gibi konum özelliklerini destekleyen ancak henüz bir hesaba tanımlanmamış cihazların, teorik olarak izinsiz şekilde konum takibine açık olabileceği ifade ediliyor.
Bu durum, kullanıcıya takip uyarısı gönderilse bile ekranda yalnızca kendi cihazını gördüğü için fark edilmeyebiliyor.
İPHONE KULLANICILARI DA RİSK ALTINDA
Güvenlik açığının yalnızca Android kullanıcılarını etkilemediği belirtiliyor. Savunmasız Bluetooth kulaklıkları kullanan iPhone sahiplerinin de benzer risklerle karşı karşıya kalabileceği uyarısı yapılıyor.
UZMANLARDAN GÜNCELLEME UYARISI
Google, Pixel Buds Pro da dahil olmak üzere bazı ürünler için yazılım güncellemeleri yayımladığını duyurdu. Kullanıcılara, kulaklık ve ses aksesuarlarının yazılım sürümlerini kontrol etmeleri ve mevcut güncellemeleri en kısa sürede yüklemeleri çağrısında bulunuldu.
Araştırma ekibi ayrıca, test edilen ve risk taşıyan kulaklık modellerini içeren çevrim içi bir liste yayımladı. Kullanıcılar, cihazlarının WhisperPair açığından etkilenip etkilenmediğini bu liste üzerinden kontrol edebiliyor.
Uzmanlar, yazılım güncellemelerinin ihmal edilmemesi gerektiğini vurgulayarak, Bluetooth cihazlarda güvenliğin yalnızca telefonlarla sınırlı olmadığının altını çiziyor.
