Belçika’daki KU Leuven Üniversitesinden araştırmacılar, Bluetooth ses ürünleri kullanan milyonlarca kullanıcıyı ilgilendiren ciddi bir güvenlik açığı tespit etti.
Araştırmaya göre, Google’ın Bluetooth cihazlarını hızlı ve kolay bağlamak için geliştirdiği "Fast Pair" (Hızlı Eşleş) teknolojisindeki zafiyetler, bazı kulaklık ve ses aksesuarlarının uzaktan ele geçirilmesine ve hatta takip edilmesine olanak tanıyabiliyor.
Google, söz konusu açıkların giderildiğini ve kötü niyetli kişilerin cihazları ele geçirmesine veya konum takibi yapmasına imkan veren sorunların çözüldüğünü savunuyor.
Ancak araştırmacılar, 'WhisperPair' adını verdikleri bu güvenlik açıklarının hâlâ Sony, JBL, Google ve Anker gibi üreticilere ait bazı ürünleri etkilediğini belirtiyor. Testlerde, cihazların yaklaşık 14 metre mesafeden kablosuz olarak hedef alınabildiği ortaya kondu.
Google’dan CNET’e konuşan bir şirket sözcüsü, Pixel Buds Pro dahil bazı Google ürünlerinde yazılım güncellemelerinin yayımlandığını, açıkların bir kısmının ise üçüncü taraf üreticilerin Fast Pair standartlarını doğru uygulamamasından kaynaklandığını söyledi. Google’ın bu firmaları eylül ayında bilgilendirdiği ifade edildi.
Şirket, kullanıcıların kulaklık ve ses aksesuarları için en son cihaz yazılımı güncellemelerini kontrol etmelerini önerdi.
Google ayrıca, cihaz takibiyle ilgili endişelere yanıt olarak, izinsiz konum takibini tamamen engelleyen bir düzeltmenin devreye alındığını duyurdu. Bu ay içinde Wear OS ve Google Pixel cihazları için iki ayrı güvenlik güncellemesi de yayımlandı.
WhisperPair nedir?
2017'de tanıtılan Fast Pair, Bluetooth aksesuarlarının Android ve Chrome cihazlarla tek dokunuşla eşleştirilmesini sağlıyor. Ancak protokol doğru şekilde uygulanmadığında, bu durum “saldırganların cihazları ele geçirmesine ve kullanıcıları takip etmesine” yol açabilecek ciddi bir güvenlik açığı yaratıyor.
ZDNet'e göre bu açık, Ağustos 2025’te Google’a gizli olarak bildirildi ve araştırmacılara 15 bin dolar ödül verildi. Taraflar, Google’ın yamaları yayımlaması için 150 günlük bir süre üzerinde uzlaştı.
Açık nasıl işliyor?
Araştırmacılara göre sorun, birçok ses aksesuarının 'Fast Pair' eşleştirme sırasında “kritik bir adımı atlamasından” kaynaklanıyor. Normalde, eşleştirme modunda olmayan bir kulaklığın gelen eşleştirme taleplerini reddetmesi gerekiyor. Ancak bazı cihazlar bu kontrolü yapmıyor.
Bu sayede saldırganlar, izinsiz şekilde bir kulaklıkla eşleşebiliyor ve ardından standart Bluetooth bağlantısını tamamlayarak cihaz üzerinde tam kontrol elde edebiliyor.
Ne tür riskler var?
WhisperPair açığı kullanılarak kulaklık veya kulak içi kulaklıkların kontrolü ele geçirilebiliyor ve ses seviyesi gibi ayarlar değiştirilebiliyor. Daha da kötüsü dahili mikrofonlar üzerinden konuşmalar gizlice dinlenebiliyor veya kaydedilebiliyor
Araştırmacılar, saldırıların 14 metreye kadar tamamen kablosuz şekilde yapılabildiğini vurguluyor.
