Google Hızlı Eşleştirme WhisperPair kusurları, Bluetooth cihazının ele geçirilmesine olanak tanıyor

Google, Bluetooth bağlantılarını hızlı ve zahmetsiz hale getirmek için Hızlı Eşleştirme'yi tasarladı. Tek dokunuş menülerin, kodların ve manuel eşleştirmenin yerini alır. Bu kolaylık artık ciddi riskleri de beraberinde getiriyor. KU Leuven'deki güvenlik araştırmacıları, Google'ın Fast Pair protokolünde, cihazların sessiz bir şekilde ele geçirilmesine izin veren kusurları ortaya çıkardı. Saldırı yöntemine WhisperPair adını verdiler. Yakındaki bir saldırgan, sahibinin haberi olmadan kulaklıklara, kulaklıklara veya hoparlörlere bağlanabilir. Bazı durumlarda saldırgan kullanıcının konumunu da takip edebilir. Daha da endişe verici olanı, kurbanların Android kullanmasına veya herhangi bir Google ürününe sahip olmasına gerek olmamasıdır. iPhone kullanıcıları da etkilendi.

ÜCRETSİZ CyberGuy Raporum için kaydolun

En iyi teknik ipuçlarımı, acil güvenlik uyarılarımı ve özel fırsatlarımı doğrudan gelen kutunuza alın. Ayrıca, Nihai Dolandırıcılık Hayatta Kalma Rehberime anında erişebileceksiniz — bana katıldığınızda ücretsiz CYBERGUY.COM bülten.

APPLE MİLYONLARCA İPHONE'UN SALDIRIYA MARUZ KALDIĞI UYARISI

WhisperPair nedir ve Bluetooth cihazlarını nasıl ele geçirir?

Fast Pair, bir cihazın kimliğini yakındaki telefonlara ve bilgisayarlara yayınlayarak çalışır. Bu kısayol eşleştirmeyi hızlandırır. Araştırmacılar birçok cihazın temel bir kuralı göz ardı ettiğini buldu. Zaten bağlıyken yeni eşleştirmeleri kabul etmeye devam ediyorlar. Bu da istismara kapı açıyor.

Saldırgan, Bluetooth menzili içinde bir cihazla yaklaşık 10 ila 15 saniye içinde sessizce eşleşebilir. Bağlandıktan sonra çağrıları kesebilir, ses aktarabilir veya mikrofonları etkinleştirebilirler. Saldırı, özel bir donanım gerektirmiyor ve standart bir telefon, dizüstü bilgisayar veya Raspberry Pi gibi düşük maliyetli bir cihaz kullanılarak gerçekleştirilebiliyor. Araştırmacılara göre saldırgan, fiilen cihazın sahibi oluyor.

Fast Pair güvenlik açığından etkilenen ses markaları

Araştırmacılar aralarında Sony, Jabra, JBL, Marshall, Xiaomi, Nothing, OnePlus, Soundcore, Logitech ve Google'ın da bulunduğu büyük markaların 17 Fast Pair uyumlu cihazını test etti. Bu ürünlerin çoğu Google sertifikasyon testini geçmiştir. Bu ayrıntı, güvenlik kontrollerinin nasıl yapıldığına dair rahatsız edici soruları gündeme getiriyor.

Kulaklıklar nasıl izleme cihazı haline gelebilir?

Etkilenen bazı modeller daha da büyük bir gizlilik sorunu yaratıyor. Belirli Google ve Sony cihazları, konumu tahmin etmek için yakındaki cihazları kullanan Find Hub ile entegre olur. Kulaklıklı mikrofon seti daha önce bir Google hesabına bağlanmamışsa, ilk önce saldırgan bunu talep edebilir. Bu, kullanıcının hareketlerinin sürekli izlenmesine olanak tanır. Eğer kurban daha sonra bir izleme uyarısı alırsa, bu uyarı kendi cihazına referans veriyormuş gibi görünebilir. Bu, uyarının hata olarak göz ardı edilmesini kolaylaştırır.

ARAŞTIRMACI, GOOGLE NEST'İN UZAKTAN KUMANDA KESİLME SONRASINDA DA VERİ GÖNDERMEYE DEVAM ETTİĞİNİ BULDU

Neden birçok Fast Pair cihazı savunmasız kalabilir?

Çoğu kullanıcının asla dikkate almadığı başka bir sorun daha var. Kulaklıklar ve hoparlörler ürün yazılımı güncellemeleri gerektirir. Bu güncellemeler genellikle çoğu kişinin asla yüklemediği, markaya özel uygulamalar aracılığıyla gelir. Uygulamayı hiç indirmezseniz güncellemeyi asla göremezsiniz. Bu, savunmasız cihazların aylarca, hatta yıllarca açıkta kalabileceği anlamına geliyor.

Bu güvenlik açığını gidermenin tek yolu, cihaz üreticisi tarafından yayınlanan bir yazılım güncellemesini yüklemektir. Birçok şirket yamalar yayınlamış olsa da, etkilenen her model için güncellemeler henüz mevcut olmayabilir. Kullanıcılar, kendi cihazlarına yönelik bir güvenlik güncellemesinin mevcut olup olmadığını doğrulamak için doğrudan üreticiye danışmalıdır.

Kolaylık neden güvenlik açıkları yaratmaya devam ediyor?

Sorun Bluetooth'un kendisi değildi. Kusur, onun üzerine inşa edilen kolaylık katmanında yaşıyor. Fast Pair, sıkı sahiplik uygulaması yerine hıza öncelik verdi. Araştırmacılar, eşleştirmenin kriptografik sahiplik kanıtı gerektirmesi gerektiğini savunuyor. Bu olmadan kolaylık sağlayan özellikler saldırı yüzeylerine dönüşür. Güvenlik ve kullanım kolaylığının birbiriyle çelişmesi gerekmez. Ancak birlikte tasarlanmaları gerekir.

Google, Fast Pair WhisperPair güvenlik kusurlarına yanıt veriyor

Google, WhisperPair güvenlik açıklarını gidermek için araştırmacılarla birlikte çalıştığını ve önerilen yamaları Eylül ayı başlarında kulaklık üreticilerine göndermeye başladığını söyledi. Google ayrıca kendi Pixel kulaklıklarının artık yamalandığını doğruladı.

Bir Google sözcüsü CyberGuy'a yaptığı açıklamada şunları söyledi: “Kullanıcılarımızı güvende tutmaya yardımcı olan Güvenlik Açığı Ödül Programımız aracılığıyla güvenlik araştırmacılarıyla işbirliği yaptığımızı takdir ediyoruz. Bu güvenlik açıklarını düzeltmek için bu araştırmacılarla birlikte çalıştık ve bu raporun laboratuvar ortamı dışında herhangi bir istismara dair kanıt görmedik. En iyi güvenlik uygulaması olarak, kullanıcıların en son donanım yazılımı güncellemeleri için kulaklıklarını kontrol etmelerini öneriyoruz. Hızlı Eşleştirme ve Bul Hub güvenliğini sürekli olarak değerlendiriyor ve geliştiriyoruz.”

Google, temel sorunun bazı aksesuar üreticilerinin Hızlı Eşleştirme spesifikasyonunu tam olarak takip etmemesinden kaynaklandığını söylüyor. Bu spesifikasyon, aksesuarların yalnızca kullanıcı cihazı kasıtlı olarak eşleştirme moduna getirdiğinde eşleştirme isteklerini kabul etmesini gerektirir. Google'a göre bu kuralın uygulanmaması, araştırmacıların tespit ettiği ses ve mikrofon risklerine katkıda bulundu.

Google, ileriye dönük riski azaltmak için, cihazların eşleştirme modu kontrollerini düzgün bir şekilde uygulayıp uygulamadığını açıkça test etmek amacıyla Hızlı Eşleştirme Doğrulayıcısını ve sertifika gereksinimlerini güncellediğini söylüyor. Google ayrıca aksesuar iş ortaklarına, ilgili tüm sorunları uygulandıktan sonra tamamen çözmeyi amaçlayan düzeltmeler sağladığını da söylüyor.

Konum izleme tarafında Google, daha önce bir Android cihazla eşleştirilmemiş aksesuarların Find Hub ağına sessizce kaydedilmesini önleyen sunucu tarafında bir düzeltme sunduğunu söylüyor. Şirkete göre bu değişiklik, Google'ın kendi aksesuarları da dahil olmak üzere tüm cihazlarda söz konusu spesifik senaryoda Find Hub izleme riskini ele alıyor.

Ancak araştırmacılar, yamaların kullanıcılara ne kadar hızlı ulaştığı ve Google'ın, Google donanımını içermeyen gerçek dünyadaki kötüye kullanım konusunda ne kadar görünürlüğe sahip olduğu konusunda soruları gündeme getirdi. Ayrıca sertifikasyondaki zayıflıkların hatalı uygulamaların pazara geniş ölçekte ulaşmasına olanak sağladığını ve bunun da daha geniş sistemik sorunlara işaret ettiğini ileri sürüyorlar.

Şimdilik hem Google hem de araştırmacılar tek bir önemli noktada hemfikir. Kullanıcıların korunmak için üreticinin ürün yazılımı güncellemelerini yüklemesi gerekir ve kullanılabilirlik cihaza ve markaya göre değişebilir.

AKILLI EV HACKING KORKULARI: NELER GERÇEK VE NELER Abartılı?

Şu anda riskinizi nasıl azaltabilirsiniz?

Hızlı Eşleştirmeyi tamamen devre dışı bırakamazsınız ancak maruz kalma oranınızı azaltabilirsiniz.

1) Cihazınızın etkilenip etkilenmediğini kontrol edin

Kablosuz kulaklıklar, kulaklıklar veya hoparlörler dahil Google Fast Pair'ı destekleyen bir Bluetooth aksesuarı kullanıyorsanız bu durumdan etkilenebilirsiniz. Araştırmacılar, belirli cihaz modelinizi aramanıza ve savunmasız olup olmadığını görmenize olanak tanıyan genel bir arama aracı oluşturdu. Cihazınızı kontrol etmek, hangi eylemlerin gerçekleştirileceğine karar vermeden önce basit bir ilk adımdır. Ziyaret etmek Whistlepair.eu/vulnerable-devices Cihazınızın listede olup olmadığını görmek için

2) Ses cihazlarınızı güncelleyin

Kulaklığınızın veya hoparlörünüzün üreticisinin resmi uygulamasını yükleyin. Ürün yazılımı güncellemelerini kontrol edin ve bunları hemen uygulayın.

3) Halka açık yerlerde eşleşmekten kaçının

Yeni cihazları özel alanlarda eşleştirin. Yabancıların yakınlarda olduğu havaalanlarında, kafelerde veya spor salonlarında eşleşmekten kaçının.

4) Bir şeyler ters giderse fabrika ayarlarına sıfırlayın

Beklenmedik ses kesintileri, garip sesler veya kopan bağlantılar uyarı işaretleridir. Fabrika ayarlarına sıfırlama, yetkisiz eşleştirmeleri kaldırabilir ancak temeldeki güvenlik açığını gidermez. Firmware güncellemesi hala gerekli.

5) Gerekmediğinde Bluetooth'u kapatın

Bluetooth'un yalnızca aktif kullanım sırasında açık olması gerekir. Kullanılmadığı zaman Bluetooth'un kapatılması maruz kalmayı sınırlandırır, ancak cihaz yama yapılmadan kalırsa altta yatan riski ortadan kaldırmaz.

6) İkinci el cihazları sıfırlayın

Kullanılmış kulaklıkları veya hoparlörleri eşleştirmeden önce daima fabrika ayarlarına sıfırlayın. Bu, gizli bağlantıları ve hesap ilişkilerini kaldırır.

7) İzleme uyarılarını ciddiye alın

Kendi cihazınıza referans veriyor gibi görünseler bile Find Hub veya Apple izleme uyarılarını araştırın.

8) Telefonunuzu güncel tutun

İşletim sistemi güncellemelerini derhal yükleyin. Platform yamaları, aksesuarlar geride kalsa bile yararlanma yollarını engelleyebilir.

Kurt'un önemli çıkarımları

WhisperPair, küçük kısayolların nasıl büyük gizlilik hatalarına yol açabileceğini gösteriyor. Kulaklıklar zararsız hissettiriyor. Ancak bakıma ve güncellemeye ihtiyaç duyan mikrofonlar, radyolar ve yazılımlar içerirler. Bunları görmezden gelmek, saldırganların memnuniyetle yararlanabileceği bir kör nokta bırakır. Artık güvende kalmak, bir zamanlar hafife aldığınız cihazlara dikkat etmek anlamına geliyor.

Şirketlerin, cihaz sahipliğinin kriptografik kanıtı yerine hızlı eşleştirmeye öncelik vermesine izin verilmeli mi? Bize yazarak bize bildirin. Cyberguy.com

FOX HABER UYGULAMASINI İNDİRMEK İÇİN TIKLAYIN

ÜCRETSİZ CyberGuy Raporum için kaydolun

En iyi teknik ipuçlarımı, acil güvenlik uyarılarımı ve özel fırsatlarımı doğrudan gelen kutunuza alın. Ayrıca, Nihai Dolandırıcılık Hayatta Kalma Rehberime anında erişebileceksiniz — bana katıldığınızda ücretsiz CYBERGUY.COM bülten.

Telif Hakkı 2026 CyberGuy.com'a aittir. Her hakkı saklıdır.