Google'ın Android ve ChromeOS cihazlarla Bluetooth aksesuarlarını tek dokunuşla eşleştirmeyi sağlayan Fast Pair protokolünde ciddi güvenlik açıkları keşfedildi. Belçika'daki KU Leuven Üniversitesi araştırmacıları tarafından ortaya çıkarılan bu "WhisperPair" açıkları, milyonlarca kulaklık, hoparlör ve diğer ses cihazını kablosuz saldırılara karşı savunmasız bırakıyor. Bu güvenlik zafiyeti, saldırganların Bluetooth menzili içindeki cihazları kolayca ele geçirmesine olanak tanıyor, hatta Google ürünü kullanmayan iPhone sahipleri bile risk altında.
Araştırmacılar, aralarında Sony, Jabra, JBL, Marshall, Xiaomi ve Google'ın da bulunduğu 10 farklı şirkete ait 17 ses aksesuarında bu açıkları tespit etti. WhisperPair teknikleri sayesinde bir saldırgan, yaklaşık 15 metre mesafeden kurbanın ses akışını veya telefon görüşmelerini kesintiye uğratabilir, kendi sesini cihaz üzerinden oynatabilir veya en kötüsü, mikrofonları gizlice ele geçirerek çevreyi dinleyebilir. Google ve Sony'nin bazı cihazlarında bulunan Find Hub gibi konum takip özellikleriyle birleştiğinde ise, yüksek çözünürlüklü gizli takip bile mümkün hale geliyor.
Google, araştırmacıların bulgularını kabul ederek bir güvenlik danışmanlığı yayınladı ve sorunu gidermek için çalıştığını belirtti. Ağustos ayından bu yana birçok üretici güvenlik güncellemeleri yayınlamış olsa da, KU Leuven araştırmacıları, kullanıcıların kulaklık veya hoparlör gibi IoT cihazlarının yazılımlarını güncelleme alışkanlığının düşük olması nedeniyle WhisperPair güvenlik açıklarının aylarca, hatta yıllarca devam edebileceği konusunda uyarıyor. Bu durum, milyonlarca cihazın potansiyel bir tehdit altında kalmasına yol açabilir.
Günlük hayatta sıkça kullanılan Bluetooth ses cihazlarındaki bu güvenlik açığı, kullanıcıların kişisel gizliliğini ve güvenliğini ciddi şekilde tehlikeye atıyor.