Hakan Kaplan 
Son günlerde teknoloji dünyasında dikkat çeken bir gelişme yaşandı. 26 Haziran tarihinde yayımlanan bir rapora göre, Alman siber güvenlik şirketi ERNW, Tayvanlı yarı iletken üreticisi Airoha tarafından üretilen yaygın Bluetooth ses yongalarında ciddi güvenlik açıkları tespit etti. Bu zafiyet, Sony, Bose, Jabra, Marshall ve JBL gibi önde gelen markaların amiral gemisi kulaklık ve kablosuz kulak içi modellerini etkiliyor.
Güvenlik açığının kökeni, Airoha yongalarında kullanılan güvenli olmayan bir protokolden kaynaklanıyor. Bluetooth menzilinde (yaklaşık 10 metre) bulunan bir saldırgan, herhangi bir kimlik doğrulaması olmaksızın bu protokole erişim sağlayabiliyor. Bu durum, saldırganların cihazın belleğine ve depolama alanına erişim sağlamasına ve dolayısıyla tam kontrol elde etmesine olanak tanıyor. ERNW araştırmacıları, yaptıkları testlerde çeşitli saldırı senaryolarını inceledi. En kritik senaryo, kulaklık ile akıllı telefon arasındaki güvenilir bağlantının ele geçirilmesi olarak belirlendi. Saldırganlar bu yöntemle kulaklıktan Bluetooth bağlantı anahtarlarını çalarak, hedef telefonu taklit edebilir ve ‘eller serbest profili’ (HFP) üzerinden cihaza erişim sağlayabilir.
Hangi cihazların risk altında olduğu konusunda ERNW, Airoha yongaları kullanan tüm cihazların potansiyel tehdit altında olduğunu belirtiyor. Ancak, raporda yer alan bazı spesifik modeller ise şu şekildedir:
– Bose: QuietComfort Earbuds
– Sony: WH-1000XM4/5/6, WF-1000XM3/4/5, LinkBuds S, ULT Wear
– Jabra: Elite 8 Active
– JBL: Live Buds 3, Endurance Race 2
– Marshall: Major V, Minor IV, Motif II, Action III
– Diğer: Beyerdynamic Amiron 300, Teufel Tatws2, MoerLabs EchoBeatz
Araştırmacılar, bu açıkların genel kullanıcılar için şu an için düşük risk taşıdığını vurguluyor. Ancak, saldırının gerçekleşebilmesi için saldırganın Bluetooth menzilinde (yaklaşık 10 metre) bulunması, gelişmiş teknik bilgiye sahip olması ve hedef cihazı tespit etmesi gerekmektedir. Yine de gazeteciler, diplomatlar ve üst düzey yöneticiler gibi yüksek profilli bireyler için bu güvenlik açığı, veri sızıntısı ve dinleme riski oluşturabilir.
Airoha, Haziran ayının başında üreticilere güncellemelerin yapılabilmesi için yamalı bir yazılım geliştirme kiti (SDK) sağladı. Ancak, bu güncellemelerin kullanıcıların cihazlarına ulaşması, Sony, Bose ve diğer markaların yazılım güncellemelerini yayınlamasına bağlı. Kullanıcılara, ihtiyaç duyulan güncellemeleri almak için ilgili markaların resmi duyurularını takip etmeleri öneriliyor.
