Hakan Kaplan 
Son günlerde dikkat çeken bir rapor, popüler kulaklık markalarının Bluetooth teknolojisindeki bir güvenlik açığını ortaya çıkardı. 26 Haziran tarihinde yayımlanan bu raporda, Alman siber güvenlik şirketi ERNW, Tayvan merkezli yarı iletken üreticisi Airoha’nın geliştirdiği yaygın Bluetooth ses yongalarında ciddi güvenlik sorunları tespit etti. Bu zafiyet, Sony, Bose, Jabra, Marshall ve JBL gibi tanınmış markaların amiral gemisi kulaklık ve kablosuz cihazlarını etkiliyor.
Güvenlik Açığının Detayları
Sorunun kaynağı, Airoha yongalarında kullanılan güvenli olmayan özel bir protokolde yatıyor. Bluetooth menzilinde (yaklaşık 10 metre) bulunan bir saldırgan, kimlik doğrulama gerekmeksizin bu protokole erişim sağlayabiliyor. Böylece, saldırganlar cihazın bellek ve depolama alanına erişerek tam kontrol elde edebiliyorlar. ERNW araştırmacıları, bu durumla ilgili çeşitli saldırı senaryolarını test etti. En kritik senaryo ise, kulaklık ile akıllı telefon arasındaki güvenilir bağlantının ele geçirilmesi. Böylece, saldırganlar kulaklıktan Bluetooth bağlantı anahtarlarını çalıp, telefonu taklit ederek cihaz üzerinde kontrol sağlayabiliyor.
Hangi Modeller Etkileniyor?
ERNW, Airoha yongalarını kullanan birçok cihazın risk altında olabileceğini belirtirken, aşağıdaki modellerde bu açığın doğrulandığını açıkladı:
– Bose: QuietComfort Earbuds
– Sony: WH-1000XM4/5/6, WF-1000XM3/4/5, LinkBuds S, ULT Wear
– Jabra: Elite 8 Active
– JBL: Live Buds 3, Endurance Race 2
– Marshall: Major V, Minor IV, Motif II, Action III
– Diğer: Beyerdynamic Amiron 300, Teufel Tatws2, MoerLabs EchoBeatz
Tüketiciler İçin Risk Düzeyi
Araştırmacılar, ortalama kullanıcılar için riskin şu an için düşük olduğunu vurguluyor. Saldırının gerçekleşebilmesi için, Bluetooth menzilinde olmak (~10m), ileri düzey teknik bilgiye sahip olmak ve hedef cihazı tespit etmek gerekiyor. Ancak gazeteciler, diplomatlar ve üst düzey yöneticiler gibi yüksek profilli hedefler için bu açık, veri sızıntısı ve dinleme riski taşıyabilir.
Düzeltme Çalışmaları Devam Ediyor
Airoha, Haziran ayının başında üreticilere yamalı bir SDK (Yazılım Geliştirme Kiti) sağladı. Ancak, güncellemelerin kullanıcılara ulaşması, Sony, Bose ve diğer markaların yazılım güncellemelerini yayınlamasına bağlı. Kullanıcıların, ilgili markaların resmi duyurularını takip ederek cihazlarını en güncel sürüme yükseltmeleri öneriliyor.
Bu güvenlik açığı, kullanıcıların dikkat etmesi gereken önemli bir konu haline geldi. Teknoloji dünyasında bu tür zafiyetlerin zamanında tespit edilmesi ve önlenmesi, kullanıcıların güvenliği açısından kritik bir öneme sahip.
