Belçika merkezli KU Leuven Üniversitesi’nden araştırmacılar, Bluetooth tabanlı ses ürünlerini kullanan milyonlarca kişiyi ilgilendiren önemli bir güvenlik zafiyetini ortaya çıkardı.
Euronews’in aktardığı çalışmaya göre, Google’ın Bluetooth cihazlarının hızlı şekilde eşleşmesini sağlamak amacıyla geliştirdiği Fast Pair (Hızlı Eşleş) teknolojisinde bulunan açıklar, bazı kulaklık ve ses aksesuarlarının uzaktan ele geçirilmesine ve kullanıcıların takip edilmesine imkân tanıyabiliyor.
Google ise söz konusu açıkların kapatıldığını ve kötü niyetli kişilerin cihazları ele geçirmesine ya da konum takibi yapmasına yol açan sorunların giderildiğini savunuyor.
Araştırmacılar buna karşın, “WhisperPair” adını verdikleri güvenlik açıklarının hâlâ Sony, JBL, Google ve Anker gibi markalara ait bazı ürünleri etkilediğini belirtiyor. Yapılan testlerde, saldırıların yaklaşık 14 metre mesafeden tamamen kablosuz şekilde gerçekleştirilebildiği tespit edildi.
Google’dan CNET’e açıklama yapan bir şirket sözcüsü, Pixel Buds Pro da dahil olmak üzere bazı Google ürünleri için yazılım güncellemelerinin yayımlandığını ifade etti. Sözcü, açıkların bir bölümünün ise üçüncü taraf üreticilerin Fast Pair standartlarını hatalı uygulamasından kaynaklandığını ve bu firmaların eylül ayında bilgilendirildiğini söyledi.
Google, kullanıcıların kulaklık ve ses aksesuarlarında en güncel yazılım sürümlerini kontrol etmeleri çağrısında bulundu. Ayrıca izinsiz konum takibini tamamen engelleyen bir düzeltmenin devreye alındığı, bu ay içinde Wear OS ve Google Pixel cihazları için iki ayrı güvenlik güncellemesinin yayımlandığı da duyuruldu.
2017 yılında tanıtılan Fast Pair teknolojisi, Bluetooth aksesuarlarının Android ve Chrome cihazlarla tek dokunuşla eşleştirilmesini sağlıyor. Ancak bu protokolün doğru şekilde uygulanmaması, saldırganların cihazların kontrolünü ele geçirmesine ve kullanıcıların izlenmesine yol açabilecek ciddi bir güvenlik açığına zemin hazırlıyor.
ZDNet’in aktardığına göre bu açık, Ağustos 2025’te Google’a gizli olarak bildirildi ve araştırmacılara 15 bin dolar ödül verildi. Taraflar, Google’ın gerekli yamaları yayımlaması için 150 günlük bir süre üzerinde uzlaştı.
Araştırmacılara göre temel sorun, birçok ses aksesuarının Fast Pair eşleştirme sürecinde kritik bir güvenlik adımını atlamasından kaynaklanıyor. Normal şartlarda, eşleştirme modunda olmayan bir kulaklığın gelen bağlantı taleplerini reddetmesi gerekiyor. Ancak bazı cihazlar bu denetimi gerçekleştirmiyor.
Bu durum, saldırganların izinsiz şekilde kulaklıkla eşleşmesine ve ardından standart Bluetooth bağlantısını tamamlayarak cihaz üzerinde tam kontrol sağlamasına olanak tanıyor.
WhisperPair açığı kullanılarak kulaklıkların veya kulak içi kulaklıkların kontrolü ele geçirilebiliyor, ses seviyesi gibi ayarlar değiştirilebiliyor. Daha ciddi bir risk olarak ise, dahili mikrofonlar üzerinden yapılan konuşmaların gizlice dinlenmesi ya da kaydedilmesi ihtimali öne çıkıyor.
Araştırmacılar, bu tür saldırıların 14 metreye kadar herhangi bir fiziksel temas olmadan gerçekleştirilebildiğini vurguluyor.
Riskler bununla da sınırlı değil. Eğer bir cihaz, kayıp eşyaları bulmaya yarayan Find Hub özelliğini destekliyor ancak henüz bir hesaba tanımlanmamışsa, saldırganların teorik olarak bu cihazı kendi Google hesaplarına ekleyerek konum takibi yapabilmesi mümkün. Kullanıcıya bir takip uyarısı gönderilse bile, ekranda yalnızca kullanıcının kendi cihazı göründüğü için bu uyarı fark edilmeyebiliyor.
Güvenlik açığı yalnızca Android cihazlarla sınırlı değil. Savunmasız Bluetooth aksesuarları kullanan iPhone kullanıcıları da bu durumdan etkilenebiliyor.
Araştırma ekibi, test edilen popüler kulaklık ve ses aksesuarlarını içeren çevrim içi bir katalog yayımladı. Kullanıcılar, marka veya ürün adıyla arama yaparak cihazlarının WhisperPair açığına karşı savunmasız olup olmadığını kontrol edebiliyor.
