Uç Nokta Güvenliği, Nesnelerin İnterneti Güvenliği
‘WhisperPair’ Kusurunun Yıllarca Sürmesi Muhtemel
Greg Sirico •
23 Ocak 2026
Bir bilgisayar korsanı, yakındaki Bluetooth cihazlarını keşfetmek için Google tarafından geliştirilen düşük enerji teknolojisinin uygulamalarındaki bir kusur nedeniyle gizlice telefon konuşmalarını kaydedebilir, kullanıcıların konumlarını izleyebilir ve kulaklık aracılığıyla müzik çalabilir.
Ayrıca bakınız: İsteğe Bağlı | Güvenilir Yapay Zeka Yaklaşımıyla Verilerinize Yeni Bir Hayat Veriyoruz
Belçika KU Leuven Üniversitesi Bilgisayar Güvenliği ve Endüstriyel Kriptografi grubundaki araştırmacılar, bu ay Fast Pair adı verilen akıllı cihaz sisteminin, saldırganların kulaklık veya kulakiçi kulaklık gibi kablosuz bir aksesuarı saldırgan tarafından kontrol edilen bir cihazla zorla eşleştirmesine izin verebileceğini açıkladı.
Açıklamanın arkasındaki ekip, güvenlik açığını “WhisperPair” olarak adlandırdı. CVE-2025-36911 olarak takip edilen kusur, kaç aksesuar üreticisinin Fast Pair’i uyguladığından kaynaklanıyor. Yani araştırmacılar, aksesuar eşleştirme modunda olmasa bile cihazların aksesuarlarla eşleşmesine izin verdiklerini söyledi.
Araştırmacılar, WhisperPair saldırısının “saniyeler içinde (ortalama 10 saniye) gerçekçi mesafelerde (14 metreye kadar test edilmiştir) başarılı olduğunu ve savunmasız cihaza fiziksel erişim gerektirmediğini” söyledi.
Savunmasız cihazlar arasında Sony, Jabra, Soundcore, Logitech ve Google tarafından üretilen ses aksesuarları yer alıyor. Araştırmacılar, iOS da dahil olmak üzere bir cihazın işletim sistemini güncellemenin, kusurun aksesuarda olması nedeniyle kullanıcıları bu güvenlik açığına karşı korumayacağını söyledi. “WhisperPair saldırılarını önlemenin tek yolu üretici tarafından yayınlanan bir yazılım yamasını yüklemektir” diye yazdılar.
Kötü amaçlı bir cihaz bir cihazla eşleştiğinde, saldırganlar ses ayarlarını değiştirebilir veya mikrofonu açabilir. KU Leuven araştırmacısı Sayon Duttagupta Wired’a şunları söyledi: “Kulaklıklarınızı takarak sokakta yürüyorsunuz, biraz müzik dinliyorsunuz. 15 saniyeden kısa bir sürede cihazınızı ele geçirebiliriz.” “Bu, mikrofonu açıp ortam sesinizi dinleyebileceğim anlamına geliyor. Ses enjekte edebilirim. Konumunuzu takip edebilirim.”
The New York Times’taki ürün incelemecileri, bilgisayar korsanlarının muhtemelen kurbanın anlık telefon görüşmesinin ötesinde fazla ses yakalayamayacağı sonucuna vardı. Times’ın haberine göre, kulaklıklar kulağın dışında olduğunda “başıboş kulaklıkların bırakın yakındaki bir konuşmayı, kendi sesinizi bile alması pek mümkün değil”.
Konum izleme, Google’ın cihazın coğrafi konum izleme özelliği Find Hub ile uyumlu aksesuarların bir işlevidir. Saldırgan, daha önce bir Android cihazla eşleştirilmemiş bir aksesuarı eşleştirerek onu bir izleme cihazına dönüştürebilir. Araştırmacılar, “Kurban birkaç saat veya gün sonra istenmeyen bir takip bildirimi görebilir, ancak bu bildirim kendi cihazını gösterecektir. Bu, kullanıcıların uyarıyı bir hata olarak görmemesine ve saldırganın kurbanı uzun bir süre boyunca takip etmesine olanak sağlamasına neden olabilir” diye yazdı.
Google, Wired’a, WhisperPair’in vahşi ortamda istismar edildiğini görmediğini ve saldırganların kurbanları takip etmek için bu kusuru kullanmasını önlemek amacıyla Android’deki Find Hub’ı güncellediğini söyledi. Araştırmacılar dergiye düzeltmenin atlanabileceğini söyledi.
Araştırmacılar tarafından yayınlanan bir zaman çizelgesine göre, Google ile ilk olarak Ağustos 2025’te iletişime geçtiler ve 150 günlük bir açıklama aralığı üzerinde anlaştılar.
Ses aksesuarlarına uygulanan ürün yazılımı güncellemelerinin azlığı göz önüne alındığında (ister kullanıcıların zahmet etmemesi ister üreticilerin bunları geliştirmemesi nedeniyle) WhisperPair’in bir güvenlik açığı olarak yıllarca devam etmesi muhtemeldir.