Hakan Kaplan 
Son günlerde teknoloji dünyasında büyük bir endişe yaratan bir gelişme yaşandı. 26 Haziran’da yayımlanan bir rapora göre, Alman siber güvenlik firması ERNW, Tayvanlı yarı iletken üreticisi Airoha’nın geliştirdiği yaygın Bluetooth ses yongalarında ciddi güvenlik açıkları ortaya çıkardı. Bu zafiyet, Sony, Bose, Jabra, Marshall ve JBL gibi önde gelen markaların en popüler kulaklık ve kablosuz kulak içi cihazlarını tehdit ediyor.
Güvenlik açığının sebepleri ve olası riskler
Sorunun temel kaynağı, Airoha yongalarında kullanılan güvenli olmayan özel bir protokol. Bluetooth menzilinde (yaklaşık 10 metre) bulunan bir saldırgan, herhangi bir kimlik doğrulaması olmaksızın bu protokole erişim sağlayabiliyor. Bu durum, saldırganlara cihazın bellek ve depolama alanı üzerinde okuma/yazma yetkisi tanıyarak tam kontrol imkanı sunuyor. ERNW araştırmacıları, bu güvenlik açığını daha iyi anlamak için çeşitli saldırı senaryolarını test etti. En kritik senaryo, kulaklık ile akıllı telefon arasındaki güvenli bağlantının ele geçirilmesi. Saldırganlar, kulaklıktan Bluetooth bağlantı anahtarlarını çalıp telefonun kimliğini taklit edebiliyor ve ‘eller serbest profili’ni (HFP) kullanarak cihaz üzerinde kontrol sağlayabiliyor.
Hangi cihazlar etkileniyor?
ERNW, Airoha yongalarını kullanan tüm cihazların risk altında olabileceğini belirtirken, güvenlik açığının kesin olarak tespit edildiği modeller arasında şunlar yer alıyor:
– Bose: QuietComfort Earbuds
– Sony: WH-1000XM4/5/6, WF-1000XM3/4/5, LinkBuds S, ULT Wear
– Jabra: Elite 8 Active
– JBL: Live Buds 3, Endurance Race 2
– Marshall: Major V, Minor IV, Motif II, Action III
– Diğerleri: Beyerdynamic Amiron 300, Teufel Tatws2, MoerLabs EchoBeatz
Tüketiciler için risk durumu
Araştırmalar, ortalama kullanıcılar için mevcut riskin şimdilik düşük olduğunu vurguluyor. Ancak, saldırının gerçekleşebilmesi için:
– Bluetooth menzilinde olmak (yaklaşık 10 metre)
– Gelişmiş teknik bilgiye sahip olmak
– Hedef cihazı tespit etmek
gerekiyor. Yine de, gazeteciler, diplomatlar ve üst düzey yöneticiler gibi yüksek profilli kişiler için bu açık, veri sızıntısı ve dinleme riski yaratabilir.
Düzeltme adımları
Airoha, Haziran ayı başlarında üreticilere yamalı bir SDK (Yazılım Geliştirme Kiti) sunarak durumu düzeltme çabalarına başladı. Ancak, güncellemelerin kullanıcılarına ulaşması, Sony, Bose ve diğer markaların yazılım güncellemelerini yayınlamasına bağlı. Kullanıcılara, ilgili markaların resmi duyurularını takip ederek cihazlarını en son sürüme güncellemeleri önerilmektedir.
