Güvenlik araştırmacıları, Google’ın Fast Pair protokolünde, saldırganların Bluetooth ses aksesuarlarını ele geçirmesine, kullanıcıları izlemesine ve konuşmalarını gizlice dinlemesine olanak tanıyan kritik bir güvenlik açığı keşfetti.
Kusur (CVE-2025-36911 olarak izlenen ve WhisperPair olarak adlandırılan), Google’ın Hızlı Eşleştirme özelliğini destekleyen birden fazla üreticinin yüz milyonlarca kablosuz kulaklığını, kulakiçi kulaklıklarını ve hoparlörlerini etkiliyor. Bu durum, akıllı telefon işletim sistemlerinden bağımsız olarak kullanıcıları etkiliyor çünkü kusur aksesuarların kendisinde yatıyor; bu da hassas Bluetooth cihazlarına sahip iPhone kullanıcılarının da eşit derecede risk altında olduğu anlamına geliyor.
KU Leuven’in Bilgisayar Güvenliği ve Endüstriyel Şifreleme grubundan bunu keşfeden araştırmacılar, güvenlik açığının birçok amiral gemisi ses aksesuarında Fast Pair protokolünün yanlış uygulanmasından kaynaklandığını açıklıyor.
Hızlı Eşleştirme spesifikasyonu, Bluetooth cihazlarının eşleştirme modunda olmadığında eşleştirme isteklerini göz ardı etmesi gerektiğini söylese de, birçok satıcı ürünlerinde bu kontrolü zorunlu kılmamakta ve yetkisiz cihazların kullanıcının izni veya bilgisi olmadan eşleştirmeyi başlatmasına izin vermektedir.
Araştırmacılar, “Hızlı Eşleştirme prosedürünü başlatmak için, bir Arayıcı (telefon), Sağlayıcıya (aksesuar) eşleşmek istediğini belirten bir mesaj gönderir. Hızlı Eşleştirme spesifikasyonu, aksesuarın eşleştirme modunda olmaması durumunda bu tür mesajları dikkate almaması gerektiğini belirtir.”
“Ancak pek çok cihaz pratikte bu kontrolü uygulamamakta başarısız oluyor ve yetkisiz cihazların eşleştirme sürecini başlatmasına izin veriyor. Saldırgan, savunmasız cihazdan bir yanıt aldıktan sonra düzenli bir Bluetooth eşleştirmesi kurarak Hızlı Eşleştirme prosedürünü tamamlayabilir.”
Saldırganlar, Bluetooth özellikli herhangi bir cihazı (dizüstü bilgisayar, Raspberry Pi ve hatta telefon gibi) kullanarak Google, Jabra, JBL, Logitech, Marshall, Hiçbir Şey, OnePlus, Sony, Soundcore ve Xiaomi’nin savunmasız aksesuarlarıyla saniyeler içinde ve kullanıcı etkileşimi veya fiziksel erişim olmadan 14 metreye kadar mesafelerde zorla eşleştirme yapmak için WhisperPair kusurundan yararlanabilir.
Eşleştirmeden sonra, ses cihazı üzerinde tam kontrol sahibi oluyorlar, böylece yüksek ses seviyelerinde ses verebiliyorlar veya cihazın mikrofonu aracılığıyla kullanıcıların konuşmalarını gizlice dinleyebiliyorlar.
CVE-2025-36911 ayrıca saldırganların, eğer aksesuar bir Android cihazla hiç eşleştirilmemişse, cihazı kendi Google hesaplarına ekleyerek kurbanlarının konumunu Google’ın Find Hub ağını kullanarak takip etmelerine de olanak tanıyor.
“Kurban birkaç saat veya gün sonra istenmeyen bir izleme bildirimi görebilir, ancak bu bildirim kendi cihazını gösterecektir” diye eklediler. “Bu, kullanıcıların uyarıyı bir hata olarak görmesine ve saldırganın kurbanı uzun süre izlemeye devam etmesine olanak tanıyabilir.”
Google, araştırmacılara mümkün olan en yüksek ödül olan 15.000 ABD Doları ödül verdi ve 150 günlük açıklama süresi boyunca güvenlik yamalarını yayınlamak için üreticilerle birlikte çalıştı. Ancak bu kusuru gideren güvenlik güncellemelerinin henüz tüm savunmasız cihazlar için mevcut olmayabileceğini belirttiler.
Saldırganların, Hızlı Eşleştirme özellikli Bluetooth aksesuarlarını ele geçirmesine karşı tek savunma, cihaz üreticilerinin cihaz yazılımı güncellemelerini yüklemektir. Android telefonlarda Hızlı Eşleştirme’nin devre dışı bırakılması, özelliğin aksesuarların kendisinde devre dışı bırakılması mümkün olmadığından saldırıyı engellemez.
İster eski anahtarları temizliyor ister yapay zeka tarafından oluşturulan kod için korkuluklar kuruyor olun, bu kılavuz ekibinizin en başından itibaren güvenli bir şekilde geliştirme yapmasına yardımcı olur.
Hile sayfasını alın ve sır yönetimindeki tahminleri ortadan kaldırın.