Günlük hayatın vazgeçilmez aksesuarlarından biri hâline gelen Bluetooth kulaklıklar, ciddi bir siber güvenlik tehdidiyle gündemde. Belçika merkezli KU Leuven Üniversitesi araştırmacıları, Bluetooth cihazların hızlı eşleşmesini sağlayan Fast Pair (Hızlı Eşleş) teknolojisinde kritik bir açık tespit etti.
Euronews’in aktardığı araştırmaya göre, “WhisperPair” adı verilen bu güvenlik zafiyeti, bazı kulaklık ve ses aksesuarlarının uzaktan ele geçirilmesine ve kullanıcıların izlenmesine imkân tanıyor.
GOOGLE “AÇIKLARI KAPATTIK” DİYOR, ARAŞTIRMACILAR UYARIYOR
Google, söz konusu güvenlik açıklarının giderildiğini ve kötü niyetli kişilerin cihazları ele geçirmesini veya konum takibi yapmasını engelleyen önlemlerin alındığını savunuyor. Ancak araştırmacılar, WhisperPair açığının Sony, JBL, Google ve Anker gibi popüler markalara ait bazı ürünleri hâlâ etkilediğini belirtiyor.
Yapılan testlerde saldırıların yaklaşık 14 metre mesafeden, tamamen kablosuz şekilde gerçekleştirilebildiği ortaya kondu.
GÜNCELLEMELER YAYIMLANDI AMA RİSK BİTMİŞ DEĞİL
Google’dan CNET’e konuşan bir şirket sözcüsü, Pixel Buds Pro da dâhil olmak üzere bazı Google ürünleri için yazılım güncellemelerinin yayımlandığını açıkladı. Açıkların bir bölümünün ise üçüncü taraf üreticilerin Fast Pair standartlarını hatalı uygulamasından kaynaklandığı ifade edildi.
Google, bu üreticilerin Eylül ayında bilgilendirildiğini ve kullanıcıların mutlaka kulaklıklarında en güncel yazılım sürümünü kontrol etmeleri gerektiğini vurguladı. Ayrıca izinsiz konum takibini tamamen engelleyen yeni bir düzeltmenin devreye alındığı, bu ay içinde Wear OS ve Google Pixel cihazları için iki ayrı güvenlik güncellemesinin yayımlandığı duyuruldu.
FAST PAİR NEDİR, NEDEN RİSK OLUŞTURUYOR?
2017 yılında tanıtılan Fast Pair, Bluetooth aksesuarlarının Android ve Chrome cihazlarla tek dokunuşla eşleştirilmesini sağlıyor. Ancak bu protokolün hatalı uygulanması, ciddi bir güvenlik açığına kapı aralıyor.
ZDNet’in aktardığı bilgilere göre açık, Ağustos 2025’te Google’a gizli olarak bildirildi. Araştırmacılara 15 bin dolar ödül ödenirken, Google’ın gerekli yamaları yayımlaması için taraflar 150 günlük bir süre üzerinde uzlaştı.
WHİSPERPAİR AÇIĞI NASIL ÇALIŞIYOR?
Araştırmacılara göre sorun, bazı ses aksesuarlarının Fast Pair eşleştirme sürecinde kritik bir güvenlik kontrolünü atlamasından kaynaklanıyor. Normal şartlarda eşleştirme modunda olmayan bir kulaklığın gelen bağlantı taleplerini reddetmesi gerekiyor. Ancak bazı cihazlar bu denetimi yapmıyor.
Bu durum, saldırganların izinsiz şekilde kulaklıkla eşleşmesine ve ardından standart Bluetooth bağlantısını tamamlayarak cihaz üzerinde tam kontrol sağlamasına olanak tanıyor.
KULLANICILAR HANGİ RİSKLERLE KARŞI KARŞIYA?
WhisperPair açığı kullanılarak:
Kulaklıkların ses seviyesi ve ayarları değiştirilebiliyor
Cihaz kontrolü tamamen ele geçirilebiliyor
Dahili mikrofonlar üzerinden konuşmalar gizlice dinlenebiliyor veya kaydedilebiliyor
Araştırmacılar, bu saldırıların fiziksel temas olmadan, yalnızca kablosuz bağlantıyla 14 metreye kadar yapılabildiğini vurguluyor.
KONUM TAKİBİ TEHLİKESİ DE VAR
Riskler bununla da sınırlı değil. Eğer bir Bluetooth cihazı, Find Hub (kayıp eşya bulma) özelliğini destekliyor ancak henüz bir hesaba tanımlanmamışsa, saldırganlar teorik olarak bu cihazı kendi Google hesaplarına ekleyerek konum takibi yapabiliyor.
Kullanıcıya bir takip uyarısı gönderilse bile, ekranda yalnızca kullanıcının kendi cihazı göründüğü için bu uyarı fark edilmeyebiliyor.
İPHONE KULLANICILARI DA ETKİLENİYOR
Güvenlik açığı yalnızca Android cihazlarla sınırlı değil. Savunmasız Bluetooth aksesuarları kullanan iPhone kullanıcıları da WhisperPair riskinden etkilenebiliyor.
Araştırma ekibi, test edilen popüler kulaklık ve ses aksesuarlarını içeren çevrim içi bir katalog yayımladı. Kullanıcılar, marka veya ürün adıyla arama yaparak cihazlarının bu güvenlik açığına karşı savunmasız olup olmadığını kontrol edebiliyor.
