KU Leuven’ün COSIC ekibi, Google Fast Pair kullanan kulaklık, kulak içi ve hoparlörlerde “WhisperPair” adını verdikleri ciddi bir açık tespit etti. Saldırganlar Bluetooth menziline girdiklerinde bazı aksesuarları saniyeler içinde ele geçirip mikrofonu açabiliyor, ses çalabiliyor ya da Find Hub ağı üzerinden konum takibi yapabiliyor. Araştırmacılar, ele geçirme süresinin medyanda yaklaşık 10 saniye olduğunu ve 14 metreye kadar çalıştığını söylüyor.
Etkilenme alanı geniş: Sony, JBL, Jabra, Xiaomi, Google, Nothing, OnePlus, Anker gibi pek çok marka listede yer alıyor. Test edilen iki düzineden fazla modelin 17’si savunmasız çıktı; örnekler arasında Sony WH-1000XM4, WH-1000XM5, WH-1000XM6 ve Pixel Buds Pro 2 var. Araştırmacılar, sorunun yüz milyonlarca cihazı ilgilendirebileceğini belirtiyor.
Nasıl çalışıyor?
Fast Pair normalde eşleştirme yalnızca aksesuar “eşleştirme modunda”yken yapılmalı diyor. Ancak birçok cihaz bu adımı doğru uygulamıyor. Saldırganlar önce Fast Pair isteğini gönderip cihazdan yanıt alıyor, ardından standart Bluetooth eşleştirmeyle bağlantıyı tamamlayarak aksesuarı ele geçiriyor. Fast Pair desteği aksesuarın içinde olduğu için telefonda Fast Pair taramasını kapatmak saldırıyı engellemiyor.
Takip boyutu da kritik. Eğer aksesuar daha önce bir Android telefona hiç bağlanmadıysa, saldırgan cihazı kendi Google hesabına ekleyip Find Hub ağıyla kurbanı izleyebiliyor. iPhone kullananların da risk altında olmasının nedeni bu “çapraz ekosistem” etkisi. Uyarı bildirimi gelse bile, sistem bazen kullanıcının kendi cihazını gösterdiği için durum bir hata sanılabiliyor.
Ne yapmalı?
- Tek gerçek çözüm: Aksesuar üreticisinin yayınladığı firmware güncellemesini yükleyin. Telefon tarafındaki ayarlar yeterli değil.
- Birçok üretici yama yayımlamaya başladı; ancak güncellemeler genellikle üretici uygulaması üzerinden geliyor. Telefon güncellemesi tek başına koruma sağlamıyor.
- Cihazınız listede mi diye resmi WhisperPair sitesindeki kontrol aracına bakın.
- Find Hub’da “bilinmeyen izleyici” uyarıları görürseniz ciddiye alın; konum takibi ihtimaline karşı aksesuarınızı güncelleyin.
Zafiyet Google’a Ağustos 2025’te bildirildi; 150 günlük gizli bildirim sürecinin ardından kamuya açıldı. Kayıtlar CVE-2025-36911 altında tutuluyor ve araştırmacılar 15.000 dolar hata ödülü aldı. Google, şimdilik gerçek hayatta kötüye kullanım tespit edilmediğini belirtiyor.
Kaynak: www.techspot.com
