Bluetooth
WhisperPair adlı yeni keşfedilen bir güvenlik açığı, birçok tanınmış markanın Bluetooth kulaklıklarını ve mikrofonlu kulaklıklarını, aksesuarların şu anda bir iPhone, Android akıllı telefon veya hatta bir dizüstü bilgisayara bağlı olup olmadığına bakılmaksızın, kişisel işaretçiler haline getirebilir. Bu kusurun arkasındaki teknoloji aslında Google tarafından Android cihazlar için geliştirilmiş olsa da, iOS, macOS, Windows veya Linux gibi diğer işletim sistemlerinde güvenlik açığı bulunan kulaklıklar kullananlar için izleme riski çok daha yüksektir. iPhone sahipleri için bu durum özellikle endişe vericidir.
Google, Fast Pair teknolojisini piyasaya sürdüğünde, Bluetooth kulaklıkların Android akıllı telefonlara bağlanması çok daha hızlı hale geldi. Bu teknoloji şu anda düzinelerce aksesuar üreticisi tarafından kullanılıyor. Yeni bir kulaklığı eşleştirmek için, kulaklığı açın ve telefonunuzun yakınına tutun. Cihazınız nispeten modernse (2019’dan sonra üretilmişse), varsa, bağlantı kurup eşlik eden uygulamayı indirmenizi isteyen bir açılır pencere görünür. Tek bir dokunuşla bağlanmaya hazırsınızdır.
Ne yazık ki, pek çok üretici bu teknolojiyi uygularken ayrıntılara dikkat etmemiş görünüyor ve şimdi aksesuarları, kulaklık eşleştirme modunda olmasa bile, bir yabancının akıllı telefonu tarafından saniyeler içinde ele geçirilebiliyor. Bu, KU Leuven araştırmacıları tarafından yakın zamanda keşfedilen ve CVE-2025-36911 olarak kaydedilen WhisperPair güvenlik açığının temelidir.
Saldırı cihazı (standart bir akıllı telefon, tablet veya dizüstü bilgisayar olabilir) 14 metrelik bir yarıçap içindeki tüm Bluetooth cihazlarına Google Fast Pair istekleri gönderir. Görünüşe göre; Sony, JBL, Redmi, Anker, Marshall, Jabra, OnePlus ve hatta Google’ın kendisi (Pixel Buds 2) tarafından üretilen çok sayıda kulaklık, eşleştirme yapmaya çalışmasalar bile bu pinglere yanıt verir. Ortalama olarak, saldırı sadece 10 saniye sürer.
Kulaklıklar eşleştirildikten sonra, saldırgan sahibi yapabileceği hemen hemen her şeyi yapabilir: Mikrofon aracılığıyla dinleyebilir, yüksek sesle müzik çalabilir veya bazı durumlarda Google Find Hub’ı destekliyorsa kulaklığı harita üzerinde bulabilir. Kayıp kulaklıkları bulmak için özel olarak tasarlanan bu son özellik, gizli uzaktan izleme için mükemmel bir fırsat yaratır. İşin en ilginç yanı ise en fazla tehlike altında olanların, Apple kullanıcıları ve Android dışındaki donanımları kullananlar olmasıdır.
Uzaktan izleme ve iPhone’lar için riskler
Kulaklık veya mikrofonlu kulaklık, Fast Pair iletişim kuralı aracılığıyla bir Android cihazla ilk kez eşleştirildiğinde, o akıllı telefonun Google hesabına bağlı bir sahip anahtarı, aksesuarın belleğine kaydedilir. Bu bilgi, milyonlarca Android cihazdan toplanan verileri kullanarak kulaklıkların daha sonra bulunmasını sağlar. Herhangi bir akıllı telefon, Bluetooth aracılığıyla yakınlarda hedef cihazı tespit ederse, konumunu Google sunucularına bildirir. Bu özellik (Google Find Hub), esasen Apple’ın Find My uygulamasının Android sürümüdür ve sahte AirTag ile aynı yetkisiz izleme risklerini beraberinde getirir.
Bir saldırgan eşleştirmeyi ele geçirdiğinde, anahtarı kulaklık sahibinin anahtarı olarak kaydedilebilir, ancak bu, WhisperPair aracılığıyla hedef alınan kulaklığın daha önce bir Android cihaza bağlanmamış olması ve yalnızca iPhone veya farklı bir işletim sistemine sahip dizüstü bilgisayar gibi başka bir donanımla kullanılmış olması durumunda mümkündür. Kulaklıklar eşleştirildikten sonra, saldırgan harita üzerinde istedikleri zaman (önemli olan, sadece 14 metrelik menzil içinde değil, herhangi bir yerden) konumlarını takip edebilir.
Fast Pair’i kullanarak savunmasız kulaklıklarını bağlamış olan Android kullanıcıları, resmi sahipleri olarak zaten oturum açmış oldukları için bu özel işlemden etkilenmezler. Ancak diğer herkes, üreticinin belgelerini tekrar kontrol ederek bu sorundan etkilenip etkilenmediklerini kontrol etmelidir. Neyse ki, bu güvenlik açığına maruz kalan her cihaz Google Find Hub’ı desteklemiyor.
WhisperPair tehdidini nasıl etkisiz hale getirebilirsiniz?
Bu hatayı düzeltmenin tek etkili yolu, güncelleme kullanıma sunulmuşsa kulaklığınızın aygıt yazılımını güncellemektir. Güncellemeleri genellikle kulaklığın resmi uygulaması üzerinden kontrol edebilir ve yükleyebilirsiniz. Araştırmacılar, sitelerinde savunmasız cihazların bir listesini derlemişlerdir, ancak bu liste kesinlikle eksiksiz değildir.
Aygıt yazılımını güncelledikten sonra, istenmeyen misafirler de dahil olmak üzere eşleştirilmiş tüm cihazların listesini silmek için mutlaka fabrika ayarlarına sıfırlama işlemi yapmalısınız.
Aygıt yazılımı güncellemesi yoksa ve kulaklığınızı iOS, macOS, Windows veya Linux ile kullanıyorsanız, tek seçenek bir Android akıllı telefon bulmak (veya böyle bir telefona sahip güvenilir bir arkadaş bulmak) ve bu telefonu kullanarak kulaklığın orijinal sahibinin rolünü devralmaktır. Bu, başkalarının sizin haberiniz olmadan kulaklığınızı Google Find Hub’a eklemesini engelleyecektir.
Google’dan güncelleme
Ocak 2026’da Google, işletim sistemi tarafındaki güvenlik açığını gidermek için bir Android güncellemesi yayınladı. Ne yazık ki, ayrıntılar kamuoyuna açıklanmadı, bu yüzden tam olarak neyi değiştirdiklerini tahmin etmek zorunda kalıyoruz. Büyük olasılıkla, güncellenmiş akıllı telefonlar artık WhisperPair aracılığıyla ele geçirilen aksesuarların konumunu Google Find Hub ağına bildirmeyecektir. Ancak, Android güncellemelerini yükleme konusunda herkesin aynı hızda olmadığı göz önüne alındığında, bu tür kulaklık takibinin en azından birkaç yıl daha geçerliliğini koruyacağına emin olabiliriz.
Cihazlarınızın sizi başka nasıl gözetleyebileceğini öğrenmek için aşağıdaki yazılarımıza göz atabilirsiniz:
Bluetooth ve benzeri araçlarla takip edilmekten kendinizi nasıl korursunuz?
Bul ağı aracılığıyla herhangi biri nasıl izlenir?
AirTag ve benzeri Bluetooth işaretçileri aracılığıyla izlenmeyi nasıl durdurabilirsiniz?
Akıllı telefonlar hakkınızda nasıl dosya oluşturur?
Veri simsarları neden sizin hakkınızda dosya oluşturur ve bunu nasıl engelleyebilirsiniz?
