Çalışmada, 'WhisperPair' adı verilen bu açıkların, Fast Pair protokolünün bazı üreticiler tarafından hatalı uygulanmasından kaynaklandığı belirtildi. Araştırmacılar, Sony, JBL, Google ve Anker gibi markalara ait bazı ürünlerin hala bu riskten etkilendiğini ve saldırıların yaklaşık 14 metre mesafeden tamamen kablosuz şekilde gerçekleştirilebildiğini ortaya koydu.
Google ise iddialara karşılık olarak söz konusu açıkların giderildiğini savundu. Şirketten CNET’e konuşan bir sözcü, Pixel Buds Pro dahil bazı Google ürünleri için yazılım güncellemelerinin yayımlandığını, tespit edilen sorunların bir kısmının üçüncü taraf üreticilerin Fast Pair standartlarını doğru uygulamamasından kaynaklandığını söyledi. Google’ın bu firmaları eylül ayında bilgilendirdiği de aktarıldı.
Araştırmacılara göre WhisperPair açığının temelinde, birçok ses aksesuarının Fast Pair eşleştirme sürecinde “kritik bir güvenlik adımını atlaması” yatıyor. Normal şartlarda eşleştirme modunda olmayan bir kulaklığın gelen bağlantı taleplerini reddetmesi gerekirken, bazı cihazların bu kontrolü yapmadığı belirtiliyor. Bu durum, saldırganların izinsiz şekilde kulaklıkla eşleşmesine ve ardından standart Bluetooth bağlantısını tamamlayarak cihaz üzerinde tam kontrol sağlamasına imkan tanıyor.
Euronews'in haberine göre; bu açık kullanılarak kulaklıkların ses seviyesi gibi ayarlarının değiştirilebildiği, dahili mikrofonlar üzerinden konuşmaların gizlice dinlenebildiği ya da kaydedilebildiği ifade ediliyor.
Araştırmacılar, saldırıların 14 metreye kadar mesafeden gerçekleştirilebildiğini vurgularken, riskin yalnızca Android kullanıcılarıyla sınırlı olmadığını, savunmasız Bluetooth aksesuarları kullanan iPhone kullanıcılarının da etkilenebileceğini belirtiyor.
Risk bununla da sınırlı değil. Eğer bir cihaz, kayıp eşyaları bulmaya yarayan 'Find Hub' özelliğini destekliyorsa ancak henüz bir Google hesabına tanımlanmamışsa, saldırganların teorik olarak bu cihazı kendi hesaplarına ekleyerek konum takibi yapabileceği aktarılıyor. Kullanıcıya bir takip uyarısı gelse bile, ekranda yalnızca kendi cihazını görmesi nedeniyle bu uyarının fark edilmeyebileceği ifade ediliyor.
Google, kullanıcıların kulaklık ve ses aksesuarları için en son yazılım güncellemelerini kontrol etmelerini önerirken, izinsiz konum takibini tamamen engelleyen bir düzeltmenin devreye alındığını duyurdu. Ayrıca bu ay içinde Wear OS ve Google Pixel cihazları için iki ayrı güvenlik güncellemesinin yayımlandığı belirtildi. Araştırma ekibi ise, test edilen popüler kulaklık ve ses aksesuarlarını içeren çevrimiçi bir katalog yayımlayarak kullanıcıların cihazlarını marka veya ürün adıyla kontrol edebileceğini açıkladı.
