Google’ın Fast Pair protokolünde, saldırganların Bluetooth ses aksesuarlarını ele geçirmesine ve kullanıcıları bilgileri veya rızaları olmadan takip etmesine olanak tanıyan kritik bir güvenlik açığı.
KU Leuven’deki güvenlik araştırmacıları, CVE-2025-36911 olarak takip edilen ve WhisperPair olarak adlandırılan, büyük üreticilerin yüz milyonlarca kablosuz kulaklık, kulaklık ve hoparlörünü etkileyen bir güvenlik açığını ortaya çıkardı.
Sony, Anker, Google, Jabra, JBL, Logitech, Marshall, Hiçbir Şey, OnePlus, Soundcore ve Xiaomi dahil.
Google, sorunu kritik olarak sınıflandırdı ve araştırmacılara mümkün olan maksimum 15.000 ABD doları tutarında ödül verdi. Kusur, Fast Pair protokolünün yanlış uygulanmasından kaynaklanıyor.
Hızlı Eşleştirme Uygulamasında Kritik Kusur
Hızlı Eşleştirme spesifikasyonuna göre Bluetooth aksesuarları, eşleştirme modunda değilken eşleştirme isteklerini göz ardı etmelidir.
Ancak birçok amiral gemisi cihazı bu kritik güvenlik kontrolünü uygulama konusunda başarısız oluyor ve yetkisiz cihazların kullanıcı etkileşimi olmadan eşleştirme işlemini başlatmasına olanak tanıyor.
Saldırganlar, dizüstü bilgisayar, akıllı telefon veya Raspberry Pi gibi herhangi bir standart Bluetooth özellikli cihazı kullanarak WhisperPair’den yararlanabilir.
Saldırı, savunmasız cihaza fiziksel erişim gerektirmeden 14 metreye kadar mesafelerde ortalama 10 saniye içinde başarılı oluyor.
Saldırganlar eşleştirildikten sonra ses aksesuarı üzerinde tam kontrol sahibi olur ve bu da onların yüksek ses seviyelerinde ses çalmasına veya yerleşik mikrofon aracılığıyla konuşmaları kaydetmesine olanak tanır.
Ayrıca, bir aksesuar daha önce bir Android cihazla eşleştirilmemişse saldırganlar bunu kendi Google hesaplarına ekleyebilir ve Google’ın Find Hub ağını kullanarak kurbanın konumunu izleyebilir.
Görünen takip bildirimi, kurbanın kendi cihazını gösteriyor ve bu da kullanıcıların uyarıyı bir sistem hatası olarak görmesine ve uzun süreli gözetime izin vermesine yol açabilir.
Platformlar Arası Güvenlik Açığı
Güvenlik açığı tüm platformlardaki kullanıcıları etkiliyor çünkü kusur akıllı telefonlarda değil aksesuarların kendisinde bulunuyor.
Güvenlik açığı bulunan Bluetooth cihazlarına sahip iPhone kullanıcıları, Android kullanıcılarıyla aynı risklerle karşı karşıyadır. Hızlı Eşleştirme işlevi aksesuarlarda devre dışı bırakılamadığından, Android ekosistemi dışındaki kullanıcılar bile savunmasız kalır.
WhisperPair araştırmacıları bulgularını Ağustos 2025’te Google’a bildirdiler ve üreticilerin güvenlik yamalarını yayınlamaları için 150 günlük bir açıklama aralığını kabul ettiler.
Tek etkili çözüm, cihaz üreticilerinin ürün yazılımı güncellemelerini yüklemektir.
Birçok üretici yamalar yayınlamış olsa da, güvenlik açığı bulunan tüm cihazlar için yazılım güncellemeleri henüz mevcut olmayabilir.
Kullanıcılar, ürün yazılımı güncelleme talimatları için aksesuarların kılavuzuna başvurmalı ve yamanın kullanılabilirliğini doğrudan üreticilerle doğrulamalıdır.
WhisperPair güvenlik açığı, sistemsel bir arızayı temsil ediyor; çünkü güvenlik açığı bulunan cihazlar, pazara geniş ölçekte ulaşmadan önce hem üreticinin kalite güvencesinden hem de Google’ın sertifikasyon sürecinden geçti.
Günlük siber güvenlik güncellemeleri için bizi Google Haberler, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
