Belçika'da yer alan KU Leuven Üniversitesi bünyesindeki araştırmacılar, Bluetooth tabanlı ses ürünlerini kullanan milyonlarca kişiyi doğrudan etkileyen kritik bir güvenlik açığı tespit etti. Google tarafından geliştirilen ve cihazların hızlıca eşleşmesine imkan tanıyan "Fast Pair" teknolojisindeki bu zafiyet, kötü niyetli kişilerin kulaklık ve benzeri ses aksesuarlarını uzaktan kontrol etmesine ya da kullanıcıları takip etmesine zemin hazırlıyor.
Sony, JBL, Anker gibi popüler markalar listede
Google cephesi, bahsi geçen açıkların kapatıldığını ve cihazların ele geçirilmesine veya konum takibine imkan tanıyan problemlerin çözüme kavuşturulduğunu ifade ediyor. Ancak bilim insanları, "WhisperPair" adı verilen bu güvenlik açıklarının halen Sony, JBL, Google ve Anker gibi önde gelen üreticilerin bazı modellerini etkilemeye devam ettiğini raporladı. Laboratuvar testleri, söz konusu cihazların yaklaşık 14 metrelik bir mesafeden kablosuz müdahalelerle hedef alınabildiğini kanıtladı.
Konuya ilişkin CNET’e açıklamalarda bulunan bir Google sözcüsü, Pixel Buds Pro da dahil olmak üzere kendi markalarına ait bazı ürünler için gerekli yazılım güncellemelerinin servis edildiğini bildirdi. Sözcü, zafiyetlerin bir kısmının üçüncü taraf üreticilerin Fast Pair standartlarını uygulama hatalarından kaynaklandığını belirterek, bu şirketlerin eylül ayında bilgilendirildiğini dile getirdi. Teknoloji devi, kullanıcıların güvenlik için en güncel aygıt yazılımlarını kontrol etmelerini tavsiye ederken; Wear OS ve Google Pixel cihazları için de bu ay iki ayrı güvenlik yaması yayımlandı.
WhisperPair protokolündeki kritik hata
İlk olarak 2017 senesinde kullanıma sunulan Fast Pair, Bluetooth aksesuarlarının Android ve Chrome sistemli cihazlarla tek dokunuşla eşleşmesini sağlayan bir protokol olarak biliniyor. Uzmanlar, bu sistemin yanlış uygulanması durumunda "saldırganların cihazları ele geçirmesine ve kullanıcıları takip etmesine" neden olabilecek ciddi bir boşluk oluştuğunu kaydediyor. ZDNet tarafından aktarılan bilgilere göre, durum Ağustos 2025’te Google’a gizli bir raporla iletildi ve araştırmacılar 15 bin dolarlık bir ödülün sahibi oldu. Taraflar, gerekli yamaların hazırlanması süreci için 150 günlük bir bekleme süresi üzerinde mutabık kaldı.
Sistem kontrolü nasıl atlanıyor?
Araştırma raporunda yer alan detaylara göre sorun, pek çok ses aksesuarının Fast Pair süreci esnasında kritik bir güvenlik adımını devre dışı bırakmasından ileri geliyor. Normal şartlar altında, aktif eşleşme modunda bulunmayan bir kulaklığın dışarıdan gelen bağlantı taleplerini reddetmesi gerekirken, bazı cihazların bu denetimi gerçekleştirmediği saptandı. Bu açık sayesinde saldırganlar, kullanıcıdan izin almadan kulaklıkla bağ kurabiliyor ve standart Bluetooth bağlantısını tamamlayarak cihazın tüm yönetimine sahip olabiliyor.
Dinleme ve konum takibi tehdidi
WhisperPair açığının suistimal edilmesiyle kulaklıkların ses seviyesi gibi temel ayarları değiştirilebilirken, daha büyük bir tehlike olarak dahili mikrofonlar üzerinden ortam dinlemesi yapılabiliyor veya görüşmeler kaydedilebiliyor. Saldırıların 14 metreye kadar menzilde kablosuz olarak gerçekleştirilebildiğini vurgulayan uzmanlar, "Find Hub" (Cihazımı Bul) özelliğine sahip ancak henüz bir hesaba tanımlanmamış ürünlerin daha büyük risk altında olduğuna dikkat çekiyor. Saldırganlar teorik olarak bu ürünleri kendi hesaplarına ekleyerek gizli konum takibi yapabiliyor. Kullanıcıya takip uyarısı gitse dahi, ekrandaki görseller kullanıcının kendi cihazı gibi göründüğünden durum fark edilemeyebiliyor.
iPhone kullanıcıları da risk grubunda
Söz konusu güvenlik tehdidi yalnızca Android ekosistemi ile sınırlı kalmıyor; iPhone kullanıcıları da savunmasız protokolleri barındıran Bluetooth aksesuarlarını kullandıkları takdirde aynı riskle karşı karşıya kalabiliyor. Araştırma ekibi, kullanıcıların kendi cihazlarının güvenliğini denetleyebilmesi adına marka ve model bazlı arama yapılabilen çevrimiçi bir katalog yayımladı. Tüketiciler, bu veri tabanı üzerinden sahip oldukları ürünlerin WhisperPair zafiyetine karşı durumunu sorgulayabiliyor.