Google Fast Pair Açığı: Hackerlar Kulaklıkları Ele Geçirebilir

Google Fast Pair’de Güvenlik Açığı: Hackerlar Kulaklıkları Ele Geçirme Riski

Google’ın hızlı Bluetooth bağlantısı sağlayan Fast Pair özelliği, güvenlik açıkları nedeniyle hackerların kulaklıkları, hoparlörleri ele geçirmesine ve kullanıcıların konumlarını takip etmesine olanak tanıyor. KU Leuven’deki güvenlik araştırmacıları tarafından keşfedilen “WhisperPair” adlı saldırı yöntemi, kullanıcıların haberi olmadan cihazlara müdahale etme imkanı sağlıyor. Bu durum, Android kullanıcısı olmayan iPhone sahiplerini de etkiliyor.

WhisperPair Saldırısı Nasıl Gerçekleşiyor?

Fast Pair, Bluetooth cihazlarının kimliğini yakındaki telefonlara ve bilgisayarlara yayınlayarak eşleştirme işlemini hızlandırıyor. Ancak araştırmacılar, birçok cihazın eşleştirme sırasında gerekli güvenlik önlemlerini almadığını ve zaten bağlıyken yeni eşleştirmeleri kabul ettiğini tespit etti. Bu durum, saldırganların Bluetooth kapsama alanında 10-15 saniye içinde sessizce bir cihazla eşleşmesine olanak tanıyor. Saldırganlar, bu sayede aramaları kesintiye uğratabilir, ses enjekte edebilir veya mikrofonları etkinleştirebilir.

Hangi Markaların Ürünleri Etkileniyor?

Araştırmacılar, Fast Pair ile uyumlu 17 farklı markanın ürününü test etti. Etkilenen markalar arasında Sony, Jabra, JBL, Marshall, Xiaomi, Nothing, OnePlus, Soundcore, Logitech ve Google bulunuyor. Bu markaların çoğu, Google sertifikasyon testlerinden geçmiş olsa da, bu durum güvenlik kontrollerinin etkinliği hakkında soru işaretleri yaratıyor.

Konum Takibi Riski

Bazı etkilenen modeller, Find Hub ile entegre olarak kullanıcıların konumlarını takip etme potansiyeli taşıyor. Bir kulaklık Google hesabıyla ilişkilendirilmemişse, saldırganlar öncelikle kulaklığı kendilerine atayabilir ve böylece kullanıcının hareketlerini sürekli olarak takip edebilir. Bu durum, kullanıcıların kendi cihazlarından gelen yanlış takip uyarılarını görmesine ve bu uyarıları hatalı olarak kabul etmesine neden olabilir.

Güncelleme Eksikliği Sorunu

Kulaklıkların ve hoparlörlerin düzgün çalışması için firmware güncellemeleri gereklidir. Bu güncellemeler genellikle markaların kendi uygulamaları aracılığıyla dağıtılır. Ancak birçok kullanıcı bu uygulamaları yüklemediği için güncellemeleri kaçırıyor. Bu durum, cihazların güvenlik açıklarına karşı savunmasız kalmasına neden oluyor. Kullanıcıların, cihaz üreticileriyle doğrudan iletişime geçerek güvenlik güncellemelerinin mevcut olup olmadığını kontrol etmeleri öneriliyor.

Google’ın Yanıtı

Google, güvenlik araştırmacılarıyla işbirliği içinde WhisperPair güvenlik açıklarını gidermek için çalıştığını ve Eylül ayının başlarında kulaklık üreticilerine çözüm önerileri gönderdiğini belirtti. Ayrıca, kendi Pixel kulaklıklarının da güncellendiğini doğruladı. Google’dan yapılan açıklamada, “Kullanıcılarımızın güvenliğini sağlamaya yardımcı olan Vulnerability Rewards Programımız aracılığıyla güvenlik araştırmacılarıyla işbirliği yapmaktan memnuniyet duyuyoruz. Bu araştırmacılarla birlikte bu güvenlik açıklarını gidermek için çalıştık ve bu güvenlik açıklarından etkilenen kullanıcı olduğuna dair bir kanıtımız bulunmuyor” denildi.

Öneriler

• Cihaz üreticisi tarafından yayınlanan güvenlik güncellemelerini düzenli olarak kontrol edin ve yükleyin.
• Kulaklık ve hoparlörlerinizi güvenli bir ortamda kullanmaya özen gösterin.
• Bluetooth cihazlarınızın eşleştirme ayarlarını düzenli olarak gözden geçirin.

Haberin Diğer Kareleri