Milyonlarca Bluetooth kulaklık için kritik uyarı: Uzaktan erişim mümkün

Bluetooth kulaklık ve ses aksesuarlarını kullanan milyonlarca kişi, ciddi bir güvenlik riskiyle karşı karşıya. Belçika’daki KU Leuven Üniversitesi’nden araştırmacılar, Google’ın hızlı eşleşme için geliştirdiği Fast Pair teknolojisinde tespit edilen ve “WhisperPair” adı verilen açıklar nedeniyle bazı cihazların uzaktan ele geçirilebildiğini ortaya koydu.

Euronews’in aktardığı araştırmaya göre, Fast Pair altyapısındaki güvenlik zafiyetleri, belirli kulaklık ve ses aksesuarlarının izinsiz biçimde kontrol edilmesine ve kullanıcıların takip edilmesine kapı aralıyor. Üstelik saldırılar, yaklaşık 14 metre mesafeden tamamen kablosuz olarak gerçekleştirilebiliyor.

Google, söz konusu açıkların kapatıldığını ve uzaktan erişim ile konum takibine imkân tanıyan sorunların giderildiğini savunuyor. Ancak araştırmacılar, WhisperPair zafiyetlerinin hâlâ Sony, JBL, Google ve Anker gibi markalara ait bazı popüler ürünleri etkilediğini belirtiyor.

GÜNCELLEMELER YAYIMLANDI, RİSK SÜRÜYOR

Google’dan CNET’e yapılan açıklamada, Pixel Buds Pro da dahil olmak üzere bazı ürünler için yazılım güncellemelerinin yayımlandığı bildirildi. Şirket sözcüsü, açıkların bir bölümünün üçüncü taraf üreticilerin Fast Pair standartlarını hatalı uygulamasından kaynaklandığını, bu firmaların da Eylül ayında bilgilendirildiğini kaydetti.

Google ayrıca, kullanıcıların kulaklık ve ses aksesuarlarında en güncel yazılım sürümünü kontrol etmeleri çağrısında bulundu. İzinsiz konum takibini tamamen engelleyen bir düzeltmenin devreye alındığı, Wear OS ve Google Pixel cihazları için bu ay iki ayrı güvenlik güncellemesinin yayımlandığı da açıklandı.

FAST PAİR NASIL RİSK OLUŞTURUYOR?

2017’de tanıtılan Fast Pair teknolojisi, Bluetooth aksesuarlarının Android ve Chrome cihazlarla tek dokunuşla eşleşmesini sağlıyor. Ancak protokolün bazı üreticiler tarafından eksik veya hatalı uygulanması, ciddi güvenlik açıklarına yol açıyor.

ZDNet’in haberine göre, WhisperPair açığı Ağustos 2025’te Google’a gizli olarak bildirildi. Google, bildirimi yapan araştırmacılara 15 bin dolar ödül verirken, güvenlik yamalarının hazırlanması için 150 günlük bir takvim üzerinde anlaşmaya varıldı.

Araştırmacılar, temel sorunun eşleştirme sürecindeki güvenlik denetimlerinin atlanması olduğunu belirtiyor. Normal koşullarda eşleştirme modunda olmayan bir kulaklığın bağlantı taleplerini reddetmesi gerekirken, bazı cihazlar bu kontrolü yapmıyor. Bu durum da saldırganların izinsiz şekilde cihaza bağlanarak tam erişim sağlamasına imkân tanıyor.

DİNLEME VE TAKİP İHTİMALİ

WhisperPair açığı kullanılarak kulaklıkların ayarları değiştirilebiliyor, ses seviyesi kontrol edilebiliyor. Daha ciddi senaryolarda ise dahili mikrofonlar üzerinden yapılan konuşmaların gizlice dinlenmesi veya kaydedilmesi riski gündeme geliyor.

Risk bununla da sınırlı değil. Find Hub gibi kayıp eşya bulma özelliklerini destekleyen ancak henüz bir hesaba tanımlanmamış cihazların, teorik olarak saldırganlar tarafından başka bir Google hesabına eklenerek konum takibine alınabileceği belirtiliyor. Kullanıcıya bir uyarı gönderilse bile, ekranda yalnızca kendi cihazını görmesi nedeniyle bu bildirimin fark edilmemesi mümkün olabiliyor.

İPHONE KULLANICILARI DA ETKİLENEBİLİR

Güvenlik açığının yalnızca Android cihazlarla sınırlı olmadığına dikkat çekiliyor. Savunmasız Bluetooth aksesuarları kullanan iPhone kullanıcıları da benzer risklerle karşı karşıya kalabiliyor.