Belçika’daki KU Leuven Üniversitesi’nden araştırmacılar, Bluetooth kulaklık ve ses aksesuarlarında kullanılan Google’ın Fast Pair (Hızlı Eşleş) teknolojisinde önemli bir güvenlik açığı tespit etti. Euronews’in aktardığına göre bu açık, bazı cihazların uzaktan ele geçirilmesine ve kullanıcıların izlenmesine neden olabiliyor. Araştırmacıların “WhisperPair” adını verdiği bu zafiyetin, aralarında Sony, JBL, Google ve Anker gibi markaların da bulunduğu ürünleri etkilediği belirtiliyor. Güvenlik testleri, saldırıların yaklaşık 14 metre uzaklıktan tamamen kablosuz şekilde yapılabildiğini ortaya koyuyor. Google ise açıkların büyük oranda kapatıldığını savunuyor.
UZAKTAN MÜDAHALE MÜMKÜN
WhisperPair olarak adlandırılan güvenlik açığı, Bluetooth kulaklıkların Fast Pair protokolünü uygularken kritik bir güvenlik adımını atlamasından kaynaklanıyor. Normalde eşleşme modunda olmayan bir kulaklığın gelen bağlantı taleplerini reddetmesi gerekirken, bazı cihazlar bu kontrolleri gerçekleştirmiyor. Bu durum, saldırganların uzaktan bağlantı kurarak kulaklığı kontrol altına almasına olanak tanıyor. Ses seviyesi gibi ayarlar değiştirilebildiği gibi, kulaklıkta yer alan mikrofonlar üzerinden konuşmaların dinlenmesi ya da kaydedilmesi gibi daha ciddi tehditler de gündeme geliyor.
GÜNCELLEME YAYIMLANDI, ÜÇÜNCÜ TARAF HATASI
Google, CNET’e yaptığı açıklamada Pixel Buds Pro dahil bazı ürünleri için güvenlik güncellemeleri yayımlandığını duyurdu. Açıkların bir kısmının üçüncü taraf üreticilerin Fast Pair protokolünü doğru şekilde uygulamamasından kaynaklandığını belirten şirket, ilgili firmaların Eylül ayında bilgilendirildiğini ifade etti. Ayrıca, izinsiz konum takibini tamamen engelleyen düzeltmelerin de yürürlüğe konduğu, Ocak ayı içerisinde Wear OS ve Pixel cihazlarına yönelik iki ayrı güvenlik güncellemesinin sunulduğu açıklandı.
FAST PAIR TEKNOLOJİSİNİN RİSKLERİ NELER?
2017 yılında tanıtılan Fast Pair, Bluetooth cihazların Android ve ChromeOS tabanlı cihazlarla hızlıca eşleşmesini sağlayan bir sistem. Ancak bu sistemin hatalı uygulanması, saldırganlara yalnızca kulaklık kontrolü sağlamakla kalmıyor; aynı zamanda kullanıcıların konumlarını takip etmelerine de imkân tanıyabiliyor. Özellikle Find Hub özelliği aktif ancak henüz kullanıcı hesabına tanımlanmamış cihazlar, teorik olarak kötü niyetli kişiler tarafından başka Google hesaplarına eklenebiliyor. Kullanıcıya bildirim gitse bile, uyarı ekranında yalnızca “kendi cihazı” göründüğü için bu durum fark edilmeyebiliyor.
YALNIZCA ANDROID DEĞİL, IPHONE KULLANICILARI DA RİSK ALTINDA
Söz konusu açık yalnızca Android kullanıcılarıyla sınırlı değil. Güvensiz Bluetooth aksesuarları iOS cihazlarla eşleştirildiğinde de aynı güvenlik riski geçerli olabiliyor. Araştırmacılar, etkilenen cihazları listeleyen çevrim içi bir katalog yayımladı. Kullanıcılar buradan marka veya model adıyla arama yaparak cihazlarının WhisperPair açığına karşı savunmasız olup olmadığını kontrol edebiliyor. Bu nedenle, kullanıcıların hem kulaklıklarında hem de eşleştirdikleri cihazlarda en güncel yazılım sürümünü kullanmaları hayati önem taşıyor.
