Giriş
Siber güvenlik araştırmacıları, Google’ın Fast Pair protokolünde önemli bir zayıflık keşfettiler. Bu zayıflık, saldırganların Bluetooth ses aksesuarlarını ele geçirmesine, kullanıcıları takip etmesine ve konuşmalarını dinlemesine olanak tanıyor.
Saldırı Nasıl Çalışıyor?
Bu güvenlik açığı, CVE-2025-36911 olarak izlenmekte ve WhisperPair adıyla anılmaktadır. Zayıflık, Google’ın Fast Pair özelliğini destekleyen, yüz milyonlarca sansör ve aksesuarı etkisi altına alıyor. Bu durum, iPhone kullanıcıları için de geçerli; çünkü sorun, sadece aksesuarların kendisindedir.
Araştırmacılar, KU Leuven Üniversitesi’nin Bilgisayar Güvenliği ve Endüstriyel Kriptografi grubundan, zayıflığın, pek çok önde gelen ses aksesuarında Fast Pair protokolünün yanlış uygulanmasından kaynaklandığını belirtiyor. Fast Pair spesifikasyonuna göre, Bluetooth cihazları eşleştirme modunda değilse eşleştirme taleplerini göz ardı etmelidir. Ancak birçok üretici bu kontrolü sağlamadığından, yetkisiz cihazlar kullanıcıların bilgisi olmadan eşleştirme sürecini başlatabiliyor.
Etkilenen Sistemler
Zayıflık, aşağıdaki markaların Bluetooth cihazlarını etkileyebilmektedir:
- Jabra
- JBL
- Logitech
- Marshall
- Nothing
- OnePlus
- Sony
- Soundcore
- Xiaomi
Saldırganlar, kendilerine ait herhangi bir Bluetooth cihazı kullanarak (bir dizüstü bilgisayar, Raspberry Pi veya telefon gibi) savunmasız aksesuarlarla 14 metreye kadar etkileşimde bulunabilirler. Bu işlem, kullanıcı etkileşimi ya da fiziksel erişim olmadan birkaç saniye içinde gerçekleşmektedir.
Eşleştirildikten sonra, saldırganlar cihaz üzerinde tamamen kontrol elde ederek yüksek sesle müzik çalabilir veya cihazın mikrofonu üzerinden kullanıcıların konuşmalarını dinleyebilirler.
Çözüm ve Korunma
Etkilenen cihazlar için tek savunma yolu, üreticilerin sağladığı yazılım güncellemelerini yüklemektir. Android telefonlarda Fast Pair’in devre dışı bırakılması saldırıyı önlemez, çünkü bu özellik aksesuarlar üzerinde kapatılamaz. Google, bu güvenlik açığını bildiren araştırmacılara 15,000 USD ödül vererek, üreticilerle iş birliği yaparak güvenlik yamalarını çıkarmalarını sağladı. Ancak, tüm etkilenen cihazlar için güvenlik güncellemeleri henüz mevcut olmayabilir.
Sonuç
Kullanıcıların, etkilenen Bluetooth aksesuarları için üreticilerden güncellemeleri kontrol etmeleri ve en kısa sürede uygulamaları önemlidir. Ek olarak, şüpheli etkinlikleri izlemek ve mümkünse üreticilerin önerilerine uymak, bu tür saldırılara karşı alacakları önlemleri güçlendirecektir.
