Belçika Üniversitesi Araştırmacılarından Bluetooth Güvenlik Açığı Tespit Edildi
Belçika’daki KU Leuven Üniversitesi’nden araştırmacılar, milyonlarca kullanıcıyı ilgilendiren ciddi bir güvenlik açığı tespit etti. Araştırmaya göre, Google’ın geliştirdiği “Fast Pair” teknolojisindeki zafiyetler, bazı kulaklık ve ses aksesuarlarının uzaktan ele geçirilmesine ve hatta takip edilmesine olanak tanıyor.
Google, açıkların giderildiğini ve sorunların çözüldüğünü savunuyor. Ancak araştırmacılar, ‘WhisperPair’ adını verdikleri bu güvenlik açıklarının Sony, JBL, Google ve Anker gibi üreticilere ait bazı ürünleri etkilediğini belirtiyor. Testlerde, cihazların yaklaşık 14 metre mesafeden kablosuz olarak hedef alınabildiği ortaya kondu.
Google’dan CNET’e konuşan bir şirket sözcüsü, Pixel Buds Pro dahil bazı Google ürünlerinde yazılım güncellemelerinin yayınlandığını, açıkların bir kısmının ise üçüncü taraf üreticilerin Fast Pair standartlarını doğru uygulamamasından kaynaklandığını söyledi. Google’ın bu firmaları eylül ayında bilgilendirdiği ifade edildi.
Şirket, kullanıcıların kulaklık ve ses aksesuarları için en son cihaz yazılımı güncellemelerini kontrol etmelerini önerdi. Google ayrıca, cihaz takibiyle ilgili endişelere yanıt olarak, izinsiz konum takibini tamamen engelleyen bir düzeltmenin devreye alındığını duyurdu. Bu ay içinde Wear OS ve Google Pixel cihazları için iki ayrı güvenlik güncellemesi de yayınlandı.
WhisperPair Nedir?
2017’de tanıtılan Fast Pair, Bluetooth aksesuarlarının Android ve Chrome cihazlarla tek dokunuşla eşleştirilmesini sağlıyor. Ancak protokol doğru şekilde uygulanmadığında, bu durum “saldırganların cihazları ele geçirmesine ve kullanıcıları takip etmesine” yol açabilecek ciddi bir güvenlik açığı yaratıyor. ZDNet’e göre bu açık, Ağustos 2025’te Google’a gizli olarak bildirildi ve araştırmacılara 15 bin dolar ödül verildi. Taraflar, Google’ın yamaları yayımlaması için 150 günlük bir süre üzerinde uzlaştı.
Açık Nasıl İşliyor?
Araştırmacılara göre sorun, birçok ses aksesuarının ‘Fast Pair’ eşleştirme sırasında “kritik bir adımı atlamasından” kaynaklanıyor. Normalde, eşleştirme modunda olmayan bir kulaklığın gelen eşleştirme taleplerini reddetmesi gerekiyor. Ancak bazı cihazlar bu kontrolü yapmıyor. Bu sayede saldırganlar, izinsiz şekilde bir kulaklıkla eşleşebiliyor ve ardından standart Bluetooth bağlantısını tamamlayarak cihaz üzerinde tam kontrol elde edebiliyor.
Ne Tür Riskler Var?
WhisperPair açığı kullanılarak kulaklık veya kulak içi kulaklıkların kontrolü ele geçirilebiliyor ve ses seviyesi gibi ayarlar değiştirilebiliyor. Daha da kötüsü dahili mikrofonlar üzerinden konuşmalar gizlice dinlenebiliyor veya kaydedilebiliyor. Araştırmacılar, saldırıların 14 metreye kadar tamamen kablosuz şekilde yapılabildiğini vurguluyor.
Bununla da sınırlı değil. Eğer bir cihaz, kayıp eşyaları bulmaya yarayan “Find Hub” özelliğini destekliyorsa ancak henüz bir hesaba tanımlanmamışsa, saldırganlar teorik olarak bu cihazı kendi Google hesaplarına ekleyerek konum takibi yapabiliyor. Kullanıcıya bir takip uyarısı gelse bile, ekranda yalnızca kullanıcının kendi cihazı göründüğü için bu uyarı fark edilmeyebiliyor.
Cihazınız Tehlikede mi?
Üstelik açık, Android cihazlarla sınırlı değil. iPhone kullanıcıları da savunmasız Bluetooth aksesuarlar kullandıkları takdirde etkilenebiliyor. Araştırma ekibi, test edilen popüler kulaklık ve ses aksesuarlarını içeren çevrimiçi bir katalog yayımladı. Kullanıcılar, marka veya ürün adıyla arama yaparak cihazlarının WhisperPair’e karşı savunmasız olup olmadığını kontrol edebiliyor.
