Hakan Kaplan 
Teknoloji dünyasında yeni bir güvenlik skandalı patlak verdi. 26 Haziran tarihinde yayımlanan bir rapora göre, Alman siber güvenlik firması ERNW, Tayvan merkezli Airoha tarafından üretilen popüler Bluetooth ses yongalarında önemli güvenlik açıkları tespit etti. Bu durum, Sony, Bose, Jabra, Marshall ve JBL gibi tanınmış markaların en iyi kulaklık ve kablosuz kulak içi modellerini tehlikeye atıyor.
Güvenlik Açığının Nedeni ve Riskleri
Sorunun kaynağı, Airoha yongalarında kullanılan güvenli olmayan özel bir protokoldür. Bluetooth menzilindeki (yaklaşık 10 metre) bir saldırgan, kimlik doğrulamasına ihtiyaç duymadan bu protokole erişim sağlayabiliyor. Bu da, saldırganlara cihazın bellek ve depolama alanını okuma/yazma yetkisi tanıyarak tam kontrol imkanı veriyor. ERNW araştırmacıları, yaptıkları deneylerde çeşitli saldırı senaryolarını inceledi. En kritik senaryo, kulaklık ile akıllı telefon arasındaki güvenilir bağlantının ele geçirilmesi. Saldırganlar, kulaklıktan Bluetooth bağlantı anahtarlarını çalıp telefonu taklit edebiliyor ve “eller serbest profili” (HFP) aracılığıyla cihaza erişim sağlıyor.
Hangi Modeller Etkileniyor?
ERNW, Airoha yongalarını kullanan birçok cihazın risk altında olabileceği uyarısında bulunurken, şu modellerde açığı doğruladı:
– Bose: QuietComfort Earbuds
– Sony: WH-1000XM4/5/6, WF-1000XM3/4/5, LinkBuds S, ULT Wear
– Jabra: Elite 8 Active
– JBL: Live Buds 3, Endurance Race 2
– Marshall: Major V, Minor IV, Motif II, Action III
– Diğer: Beyerdynamic Amiron 300, Teufel Tatws2, MoerLabs EchoBeatz
Tüketiciler için Risk
Araştırmacılar, normal kullanıcılar için riskin şu anda düşük olduğunu belirtiyor. Saldırının gerçekleşmesi için saldırganın Bluetooth menzilinde (~10m) bulunması, gelişmiş teknik bilgiye sahip olması ve hedef cihazı tespit etmesi gerekiyor. Ancak gazeteciler, diplomatlar ve üst düzey yöneticiler gibi yüksek profilli kişilere yönelik bu açık, veri sızıntısı ve dinleme riski oluşturabilir.
Güvenlik Güncellemeleri
Airoha, Haziran ayının başında üreticilere yamalı bir yazılım geliştirme kiti (SDK) sağladı. Ancak, güncellemelerin kullanıcılarına ulaşması, Sony, Bose ve diğer markaların yazılım güncellemelerini yayınlamasına bağlı. Kullanıcılara, ilgili markaların resmi duyurularını takip ederek cihazlarını en son yazılıma güncellemeleri öneriliyor.
Bu durum, teknoloji kullanıcıları için dikkatle takip edilmesi gereken bir güvenlik meselesi olarak öne çıkıyor.
