Bluetooth kulaklıklarda sessiz tehlike: Milyonlarca kulaklık uzaktan ele geçirilebiliyor

Bluetooth kulaklık kullanıcılarını yakından ilgilendiren ciddi bir güvenlik açığı gündemde. “WhisperPair” adı verilen bu zafiyet, kablosuz kulaklıkların uzaktan ele geçirilmesine, kullanıcıların farkında olmadan izlenmesine ve hatta dinlenmesine kapı aralayabiliyor. Uzmanlara göre, yazılımı güncellenmeyen bazı cihazlar yaklaşık 14 metre mesafeden tamamen temassız şekilde hedef alınabiliyor.

Belçika’daki KU Leuven Üniversitesi araştırmacıları tarafından ortaya çıkarılan açık, özellikle Google tarafından geliştirilen Fast Pair (Hızlı Eşleş) teknolojisini kullanan Bluetooth ses ürünlerini kapsıyor.

FAST PAİR KOLAYLIK SAĞLADI, RİSKİ DE BERABERİNDE GETİRDİ

2017 yılında tanıtılan Fast Pair, Bluetooth kulaklıkların Android ve Chrome tabanlı cihazlarla tek dokunuşla eşleşmesini sağlamak için geliştirildi. Ancak araştırmacılara göre bazı üreticiler, bu protokolü güvenlik kurallarına tam uymadan uyguladı.

Normal koşullarda, bir kulaklık eşleştirme modunda değilse gelen bağlantıları reddetmeli. Ancak WhisperPair açığından etkilenen bazı modeller bu temel kontrolü yapmıyor. Bu da saldırganların yetkisiz şekilde kulaklığa bağlanmasını mümkün hâle getiriyor.

Bu zaafiyet sayesinde saldırganlar, kulaklıkla eşleşip Bluetooth bağlantısını tamamlayarak cihaz üzerinde tam yetki elde edebiliyor.

HANGİ MARKALAR RİSK ALTINDA?

Araştırmalara göre açık; Sony, JBL, Anker ve Google’a ait bazı kulaklık ve ses aksesuarlarında hâlâ görülebiliyor.

Google cephesi ise bazı ürünler için güvenlik güncellemelerinin yayımlandığını savunuyor. Şirket, özellikle Pixel Buds Pro gibi modellerde açıkların kapatıldığını belirtiyor. Ancak sorunun bir kısmının, Fast Pair standardını hatalı uygulayan üçüncü taraf üreticilerden kaynaklandığı da kabul ediliyor.

Araştırmacılar, saldırıların tamamen kablosuz şekilde ve yaklaşık 14 metre mesafeden yapılabildiğini doğruladı.

EN TEHLİKELİ SENARYO: GİZLİ DİNLEME VE TAKİP

WhisperPair açığı sadece ses ayarlarının değiştirilmesiyle sınırlı değil. Asıl risk, kulaklıkların dahili mikrofonları üzerinden ortam seslerinin dinlenebilmesi veya kaydedilebilmesi ihtimali.

Buna ek olarak, Find Hub benzeri konum bulma özelliklerini destekleyen ancak henüz bir hesaba tanımlanmamış cihazlar, teorik olarak saldırganlar tarafından başka bir hesaba eklenebiliyor. Kullanıcıya uyarı gitse bile ekranda yalnızca “kendi cihazı” göründüğü için bu durum fark edilmeyebiliyor.

Bu durum, kullanıcıların farkında olmadan takip edilmesine ve mahremiyetin ciddi şekilde ihlal edilmesine yol açabiliyor.

ANDROID’LE SINIRLI DEĞİL, IPHONE KULLANICILARI DA ETKİLENEBİLİR

Güvenlik açığı yalnızca Android ekosistemiyle sınırlı değil. Savunmasız Bluetooth aksesuarları kullanan iPhone sahipleri de benzer risklerle karşı karşıya kalabiliyor. Sorunun kaynağı işletim sistemi değil, kulaklıkların Fast Pair uyumluluğundaki güvenlik eksikleri.

Araştırma ekibi, risk altındaki kulaklık ve ses aksesuarlarını içeren çevrim içi bir liste yayımladı. Kullanıcılar bu katalog üzerinden marka ve model araması yaparak cihazlarının WhisperPair açığından etkilenip etkilenmediğini kontrol edebiliyor.

UZMANLARDAN NET UYARI: GÜNCELLEMEYİ İHMAL ETMEYİN

Google, kullanıcıları kulaklık ve ses aksesuarlarında en güncel yazılım sürümünü kontrol etmeleri konusunda uyarıyor. Ayrıca Wear OS ve Pixel cihazlar için bu ay içinde iki ayrı güvenlik güncellemesi de devreye alındı.

Uzmanlara göre, Bluetooth aksesuarları “basit bir ses cihazı” olarak görmek artık büyük bir hata. Güncellenmeyen her cihaz, potansiyel bir dinleme ve takip aracına dönüşebiliyor.