Birçok Bluetooth ses cihazı, Sony, Anker ve Nothing gibi markalardan, saldırganların konuşmaları dinlemesine veya Google’ın Find Hub ağı üzerinden cihazları takip etmesine olanak tanıyan yeni bir zafiyetten etkileniyor.
Belçika’daki KU Leuven Üniversitesi’nden bilgisayar güvenliği ve endüstriyel kriptografi araştırmacıları, Google’ın Fast Pair protokolünde birkaç güvenlik açığı keşfetti. Bu zayıflıkları kullanan bir saldırgan, Bluetooth menzilinde bazı kulaklıklar, kulak içi hoparlörler ve hoparlörlerle gizlice eşleşme yapabiliyor. Araştırmacılar, bu saldırılara “WhisperPair” adını verdi; bu, iPhone kullanıcıları üzerinde dahi etkili olabiliyor.
Fast Pair, Bluetooth eşleştirmesini basitleştirir ve kablosuz ses aksesuarlarının Android veya Chrome OS cihazlarına yalnızca birbirine dokunarak bağlanmasını sağlar. Ancak araştırmacılar, birçok cihazın Fast Pair’i doğru bir şekilde uygulamadığını, bu cihazların zaten başka bir cihaza bağlı olduğunda yeni bir cihaza bağlanmaması gerektiğini belirten Google spesifikasyonuna uymadıklarını buldu.
WhisperPair saldırılarını 24’ten fazla Bluetooth cihazında test eden araştırmacılar, bunların 17’sini başarılı bir şekilde hackleyebildi. Kompromize olmuş kulaklıklar ve hoparlörler üzerinden bağımsız ses çalabilme, telefon görüşmelerini kesip dinleyebilme ve cihazların mikrofonlarını kullanarak konuşmaları dinleyebilme yeteneklerine sahip oldular.
Özellikle beş Sony ürünü ve Google’ın Pixel Buds Pro 2’de daha ciddi bir sorun tespit edildi. Cihazlar, daha önce bir Android cihazla bağlanmamışsa ve bir Google hesabına bağlı değilse (iPhone’da kullanılmaları durumunda bu zorunlu değil) WhisperPair kullanılarak bir hackerın Google hesabına bağlanıp cihazı kontrol etmesine olanak tanıyordu. Bu durum, bir hackerın Google’ın Find Hub ağı aracılığıyla kullanıcının konumunu ve hareketlerini takip etmesine imkan tanıyordu.
Araştırmacılar bulgularını Ağustos 2025’te Google’a bildirdi. Şirket, Eylül ayında “aksesuar OEM partnerlerine” çözüm önerileri sundu ve benzer sorunların yaşanmaması için sertifikasyon gereksinimlerini güncelledi. Google, bu zafiyetlerle ilgili çalışmalara katıldıklarını ve bu raporun laboratuvar dışındaki bir istismar kanıtını görmediklerini belirtti.
Önerilen çözümler, bir yazılım güncellemesi yapıldığında tüm Fast Pair sorunlarını çözüyor ancak Google, WhisperPair’ın bazı güncellenmemiş Bluetooth cihazlarını takip etmesini engellemek için ek bir Find Hub ağı güncellemesi uyguladı. Araştırmacılar, bu yamanın devre dışı bırakılmasının yalnızca birkaç saat sürdüğünü söylediler. Google, “eski/güncellenmemiş aksesuar OEM yazılımını kullanarak bu çözümü geçtiklerini” ifade etti ve bu ek düzeltme için bir inceleme sürecinin devam ettiğini açıkladı.
Fast Pair özelliği devre dışı bırakılamıyor. WhisperPair saldırılarından korunmak için kullanıcıların, güvenlik açıklarını gideren üretici tarafından yayınlanan yazılım güncellemelerini yüklemeleri gerekiyor. İlgili donanıma sahip tüm üreticilere, düzeltmelere ilişkin ilerlemeyi doğrulamak için ulaşılmıştır. OnePlus Kuzey Amerika pazarlama ve iletişim müdürü, “Bütün güvenlik raporlarını ciddiye alıyoruz” diyerek bu meseleyi araştırdıklarını ve kullanıcı güvenliğini koruyacak uygun önlemleri alacaklarını belirtti.
Diğer şirketlerin yanıtlara doğru güncellemeleri yapacağından emin misiniz?
