- Katılım
- 24 Ocak 2026
- Mesajlar
- 16
- Tepkime puanı
- 12
- Puan
- 3
Giriş
Herkese hayırlı akşamlar umarım güzel bir gün geçiriyorsunuzdur : )) Bugün son zamanlarda çok konuşulan ve etrafı kasıp kavuran WhisperPair (CVE-2025-36911) açığından bahsedeceğim.Nedir WhisperPair Açığı?
WhisperPair, Ocak 2026'da araştırmacılar tarafından ortaya çıkarılan ve dünya çapında yüz milyonlarca Bluetooth ses cihazını (kulaklık, hoparlör vb.) etkileyen kritik bir güvenlik açığıdır.Bu açık, cihazların Google Fast Pair protokolünü hatalı yapılandırmasından kaynaklanır ve saldırganın fiziksel etkileşim olmadan cihazı ele geçirmesine olanak tanır. Üretici firmaların bu protokolü yanlış şekilde uygulaması ve bu hatalı uygulamayı da yaptıkları testler sonucu
fark edememeleri sonucu bu açık ortaya çıkmıştır.
Teknik Detaylar: Zafiyet Nasıl Oluşur?
Bu açığın ortaya çıkma sebebi; Bluetooth kulaklıkların telefona eşleme yapılmasına rağmen, kulaklığın dışarıdan gelen eşleme yanıtlarına cevap vermesi sonucu oluşur. Bir cihaz telefona veya bilgisayarla eşlendiğinde normal şartlarda bu cihaz Eşleşme Modu (Pairing Mode) durumundan çıkar. Ancak zafiyetli cihazlar dışarıdan bir Eşleşme İsteği (Pairing Request) aldıklarında, cihazın yazılımı (firmware) o an Eşleşme modunda olup olmadığına bakmasızın yanıt verir.Bu sayede saldırganlar siz kulaklığınızı telefonunuza eşlemiş bile olsanız, kulaklığınıza ikinci bir cihaz olarak kendi telefonlarını veya bilgisayarlarını bağlayabilirler.
Saldırgan Neler Yapabilir?
Saldırgan kablosuz cihazda tam erişim yetkilerine sahip olacağı için, yapabileceklerinin sınırı geniştir.
Mikrofon Erişimi (Eavesdropping):
- Saldırgan cihazınıza eriştikten sonra, haberiniz olmadan mikrofonu açabilir ve ortamdaki konuşmalarınızı dinleyebilir. Eğer yaptığınız konuşma gizli ve önemliyse gizliliğiniz büyük ölçüde tehlikeye girer.
Ses Enjeksiyonu (Audio Injection):
- Saldırganlar, kulaklığa istenmeyen sesler (yüksek gürültüler, aldatıcı sesli mesajlar) gönderebilir. Böylece işitsel sağlığınıza zarar verebildiği gibi sizi durduk yere rahatsız edebilir.
Hijacking (Ele Geçirme):
- Eğer cihaz Google Find Hub ağına kaydedilmemiş ise, saldırganlar bu cihazı kendi Google hesaplarına kaydederek anlık konum takibi yapabilir. Yani varsayalım cihazınız android değil, İOS kullanıyor. Bu durumda kulaklığınız Google Find Hub'a kayıtlı olmayacak ve saldırgana direkt olarak anlık takip etme fırsatı vermiş olacaksınız : ))
Kullandığınız Kablosuz Kulaklık Başkası Adına Casusluk Yapıyor Olabilir!!
İçiniz rahat etsin istiyorsanız hemen https://whisperpair.eu/vulnerable-devices adresine gidip kendi modeliniz üzerinden arama yapabilirsiniz.Kulaklığım Listede Bulunuyor Ne Yapmalıyım?
- Kulaklığınıza gelen güncellemeleri düzenli olarak kontrol edin. Üretici firma bu açığı yakında kapatacaktır.
- Cihazınız Google Find Hub ağına kayıtlı değilse hemen kaydedin.
- Kulaklıkları kullanmadığınız zamanlarda mutlaka şarj kutusuna koyun ve kapağını kapatın. Çoğu model kutuya girdiğinde sinyal yayınını keser.
- Google Fast Pair özelliği sayesinde bazen ekranınızda aniden "Bağlan" (Connect) penceresi belirebilir. Eğer bu eşleşme isteğini siz atmadıysanız hemen reddedin.
- Telefonunuzun Bluetooth ayarlarına giderek "Eşleşmiş Cihazlar" listesini düzenli olarak kontrol edin.
daha fazla bilgi için açığın kamuoyuna tanıtıldığı https://whisperpair.eu/ adresini ziyaret edebilirsiniz.
evet bu yazının sonuna gelmiş bulunuyoruz. Her zaman güvenli kalın efendim iyi forumlar : ))
Son düzenleme:
