Bluetooth kulaklık ve ses aksesuarlarını kullanan milyonlarca kişiyi ilgilendiren ciddi bir güvenlik açığı tespit edildi. Belçika merkezli KU Leuven Üniversitesi araştırmacıları, Google'ın Fast Pair teknolojisinde bulunan zafiyetlerin bazı cihazların uzaktan ele geçirilmesine ve kullanıcıların izlenmesine yol açabileceğini ortaya koydu.

Araştırmaya göre, Google tarafından geliştirilen Fast Pair (Hızlı Eşleş) teknolojisinde tespit edilen zafiyetler, bazı cihazların uzaktan ele geçirilmesine ve kullanıcıların izlenmesine olanak tanıyabiliyor.

FAST PAIR'DE"WHISPERPAIR" AÇIĞI

Araştırmacılar, "WhisperPair"adını verdikleri bu güvenlik açığının; Sony, JBL, Google ve Anker gibi markalara ait bazı kulaklık ve ses aksesuarlarını hâlâ etkilediğini belirtti. Yapılan testlerde saldırıların yaklaşık 14 metre mesafeden, tamamen kablosuz şekilde gerçekleştirilebildiği tespit edildi.

GOOGLE: AÇIKLAR KAPATILDI

Google, söz konusu açıkların büyük bölümünün kapatıldığını ve izinsiz cihaz ele geçirme ile konum takibine yol açan sorunların giderildiğini açıkladı. Şirket, Pixel Buds Pro da dahil olmak üzere bazı ürünler için yazılım güncellemeleri yayımlandığını duyurdu.

Google'a göre, açıkların bir kısmı üçüncü taraf üreticilerin Fast Pair standartlarını hatalı uygulamasından kaynaklanıyor. Bu firmaların Eylül ayında bilgilendirildiği ifade edildi.

AÇIK NASIL ÇALIŞIYOR?

Araştırmacılara göre sorun, bazı kulaklıkların Fast Pair sürecinde kritik bir güvenlik kontrolünü atlamasından kaynaklanıyor. Normalde eşleştirme modunda olmayan bir cihazın bağlantı taleplerini reddetmesi gerekirken, bazı ürünler bunu yapmıyor.

Bu durum, saldırganların kulaklıkla izinsiz eşleşmesine ve ardından standart Bluetooth bağlantısı kurarak cihaz üzerinde kontrol sağlamasına imkân tanıyor.

ANDROID VE IPHONE KULLANICILARI ETKİLENEBİLİR! HANGİ RİSKLER VAR?

WhisperPair açığı kullanılarak: Kulaklık ayarları değiştirilebiliyor, ses seviyesi uzaktan kontrol edilebiliyor, dahili mikrofonlar üzerinden ortam dinlemesi yapılabiliyor.
Araştırmacılar, bu saldırıların herhangi bir fiziksel temas olmadan gerçekleştirilebildiğine dikkat çekiyor.

Daha ileri bir risk olarak, Find Hub desteği bulunan ancak henüz bir hesaba tanımlanmamış cihazların, saldırganlar tarafından başka bir Google hesabına eklenerek konum takibi yapılabileceği belirtiliyor.

Güvenlik açığının yalnızca Android ile sınırlı olmadığı, savunmasız Bluetooth aksesuarları kullanan iPhone kullanıcılarının da risk altında olabileceği vurgulanıyor.

KULLANICILARA UYARI

Araştırma ekibi, test edilen cihazları içeren çevrim içi bir katalog yayımladı. Kullanıcılar, MARKA ve model adıyla arama yaparak cihazlarının WhisperPair açığından etkilenip etkilenmediğini kontrol edebiliyor.

Google ise kullanıcılara, kulaklık ve ses aksesuarlarında en güncel yazılım sürümünü kullanmaları çağrısında bulundu. Ayrıca bu ay içinde Wear OS ve Google Pixel cihazları için iki ayrı güvenlik güncellemesi yayımlandığı bildirildi.

enpara
İLGİNİZİ ÇEKEBİLİR
PARTNERPiyasalarda gün sonuPiyasalarda gün sonu
PARTNERBank of America ve Morgan Stanley’den BTC ve Ethereum İçin Rapor Geldi: “69 Bin ve 2600 Dolar Üstüne Atarsa…”Bank of America ve Morgan Stanley’den BTC ve Ethereum İçin Rapor Geldi: “69 Bin ve 2600 Dolar Üstüne Atarsa…”