Bluetooth kulaklıkların hacklenmesi: Akıllı telefona sızmanın yeni yolu

 (media.ccc.de)
16 puan yazan GN⁺ 2026-01-02 | 1 yorum | WhatsApp'ta paylaş
  • Bluetooth ses yongalarındaki güvenlik açıkları üzerinden kulaklıklar tamamen ele geçirilebilir; bunun sonucunda saldırı yolu bağlı akıllı telefona kadar genişleyebilir
  • Sony, Marshall, Jabra gibi büyük markaların kulaklık/kulak içi kulaklıklarının etkilendiği doğrulandı
  • Ürünlerde kullanılan Airoha Bluetooth ses SoC'lerinde CVE-2025-20700, CVE-2025-20701, CVE-2025-20702 olmak üzere üç güvenlik açığı bulundu
  • Kulaklıkların güvenilir Bluetooth çevre birimleri olması suistimal edilerek, firmware ve belleğe erişim sağlayabilen özel Bluetooth protokolü RACE üzerinden akıllı telefonlara saldırı ihtimali gösterildi
  • Bluetooth çevre birimi güvenliğinin, akıllı telefon güvenliğindeki yeni bir zayıf halka olabileceği konusunda uyarı yapıldı

Airoha yongalarındaki açıkların genel görünümü

  • Araştırma ekibi, Airoha tarafından geliştirilen popüler Bluetooth ses yongalarında CVE-2025-20700, CVE-2025-20701, CVE-2025-20702 olmak üzere üç güvenlik açığı keşfetti
    • Bu yongalar, birçok üreticinin Bluetooth kulaklık ve kulak içi kulaklıklarında yaygın olarak kullanılıyor
  • Açıklar, cihazın tamamen ele geçirilmesine izin verebilir ve demoda en yeni nesil kulaklıklar kullanılarak anlık etki gösterildi
  • Saldırganlar, eşleştirilmiş akıllı telefonlar gibi güven ilişkisi içindeki cihazları ikincil saldırı hedefi haline getirebilir

RACE protokolü ve firmware erişimi

  • Araştırma sırasında RACE adlı güçlü bir özel Bluetooth protokolü bulundu
    • Bu protokol, kulaklıkların flash ve RAM alanlarında veri okuma ve yazma işlevi sağlıyor
  • Bu sayede firmware'i okuma, değiştirme veya özelleştirme imkanı doğuyor
    • Böyle enfekte edilmiş Bluetooth kulaklıklar üzerinden eşleştirilmiş akıllı telefonlara saldırı mümkün olabilir
    • Bluetooth Link Key ele geçirilirse çevre birimi gibi davranmak mümkün olabilir
    • Akıllı telefonun çevre birimine güvenen yapısının kendisi bir saldırı vektörü haline geliyor
  • Araştırmacılar, bu özelliği kullanarak güvenlik yamaları ve daha kapsamlı araştırmalar için temel oluşturdu

Etkilenen üreticiler ve ürünler

  • Güvenlik açığından etkilenen cihazlar arasında Sony (WH1000-XM5, WH1000-XM6, WF-1000XM5), Marshall (Major V, Minor IV), Beyerdynamic (AMIRON 300), Jabra (Elite 8 Active) gibi modeller yer alıyor
  • Airoha, Bluetooth SoC ve referans tasarım ile SDK sağlayan bir şirket
    • Birçok tanınmış ses markası, ürünlerini Airoha SoC ve SDK temelinde geliştiriyor
    • Özellikle TWS (True Wireless Stereo) pazarında yüksek paya sahip

Kullanıcı farkındalığı ve güvenlik güncellemesi sorunu

  • Araştırmacılar, bazı üreticilerin kullanıcılara açıklar ve güvenlik güncellemeleri hakkında yeterli bilgi vermediğini belirtti
  • Sunumun amacı, kullanıcıları sorundan haberdar etmek ve araştırmacıların Airoha tabanlı cihazların güvenliği üzerine çalışmayı sürdürebilmesi için teknik ayrıntıları yayımlamak
  • Sunumla birlikte, cihazın etkilenip etkilenmediğini kontrol edebilen bir araç ve araştırmacılara yönelik analiz araçları da yayımlandı

Bluetooth çevre birimi güvenliğinin genel etkileri

  • Akıllı telefon güvenliği güçlendikçe, saldırganlar odaklarını çevre birimlerine (kulaklıklar, kulak içi kulaklıklar vb.) kaydırabilir
  • Bluetooth Link Key ele geçirilirse, saldırganlar çevre birimini sahte şekilde taklit ederek akıllı telefon işlevlerine erişebilir
  • Bu nedenle Bluetooth çevre birimlerinde güvenliğin güçlendirilmesi ve açık yönetimi önem taşıyor

İlgili okumalar

1 yorum

 
GN⁺ 2026-01-02
Hacker News görüşleri

  • Bu yazının sonunda dikkat çekmesine sevindim
    Yakın zamanda Hamburg’daki 39C3’te sunulan içerikte, Airoha SoC kullanan yaygın Bluetooth kulaklıkların kimlik doğrulama olmadan yalnızca bir Linux dizüstü bilgisayar ile tamamen ele geçirilebildiği gösterildi (CVE-2025-20700~20702)
    Firmware dump’ına, kullanıcı ayarlarına, oturum anahtarlarına ve hatta o anda çalan parçaya kadar erişilebiliyor
    Etkilenen markalar arasında Sony(WH1000-XM5/XM6, WF-1000XM5), Marshall(Major V, Minor IV), Beyerdynamic(AMIRON 300), Jabra(Elite 8 Active) ve diğerleri var
    Çoğu üretici yavaş tepki verdi ama Jabra istisnai biçimde hızlı davrandı
    İlginç olan, bu zafiyete rağmen Airoha’nın Bluetooth LE “RACE” protokolünün kullanılmaya devam etmesinin muhtemel olması
    Bu sayede Linux kullanıcıları kulaklıkları daha ayrıntılı kontrol etme fırsatı elde edecek
    Örneğin sessize alındığında “hearthrough” özelliğini otomatik olarak değiştirmek gibi
    İlgili araç: RACE Reverse Engineered - CLI Tool
    Bu düzeyde uzaktan ses dinleme, bence ulusal güvenlik düzeyinde ele alınması gereken bir sorun

    • Araştırmacılardan biriyim
      Birçok kişi videodan ziyade metni tercih ettiği için ilgili materyalleri bırakıyorum
      Blog: Bluetooth Headphone Jacking - Full Disclosure
      Whitepaper: ERNW Publications
    • Sony resmi bir duyuru yapmadı ama uygulama kullanıcıları muhtemelen sessizce dağıtılan bir firmware güncellemesi bildirimi almıştır
      Üreticilerin çoğu ayar kontrolü için kendi UUID servislerini kullanıyor
      Android için Gadgetbridge gibi açık istemciler var ama Linux için bilmiyorum
    • Ben de teknik videoları pek izlemem, bu yüzden YouTube bağlantılarına neredeyse hiç oy vermem
    • Ses çalmak da mümkünse bu tam bir şakacı rüyası olurdu
      Jabra’nın hızlı tepki vermesi şaşırtıcı değil. Kurumsal pazara odaklandığı için güvenlik hassasiyeti yüksek
      Sony ise artık tüketici odaklı bir marka, bu yüzden tepkisi daha yavaş görünüyor
    • AirPods’un iletişim protokolünü tersine mühendislikle inceleyen uygulamalar zaten var
      Bunlar 2020’deki AndroPods ve 2024’teki LibrePods
      Ancak Android’in Bluetooth stack bug sorunu nedeniyle root yetkisi olmadan komut çalıştırılamıyor
      İlgili sorun: Google Issue Tracker

  • OpenBSD Bluetooth geliştirmeyeceğini söylediğinde herkes kızmıştı ama şimdi bakınca bunun akıllıca bir karar olduğu görülüyor
    Bluetooth karmaşık ve gevşek bir standart ve Sony WH1000 gibi üst düzey cihazlar da istisna değil
    Ben de AirPods Pro ve WH1000-XM5 kullanıyorum ama Bluetooth’un sonuçta 'hack üstüne hack' olduğunu biliyordum
    Sinyal gücünün bile gösterilmemesi gibi nedenlerle iç durumu görebilmenin neredeyse hiçbir yolu yok

    • Bu Bluetooth’un kendisiyle ilgili bir sorun değil; mesele, Airoha yonga setinin SoC belleğinin kimlik doğrulama olmadan okunabildiği debug arayüzüyle piyasaya sürülmesi
      Hatta güvenlik e-postasının bile çalışmadığı söyleniyor
    • Belki de sesi Wi-Fi üzerinden aktarmak daha iyi olurdu
      En azından bir dert eksilirdi
    • Kablolu bağlantı bazen küçük bir rahatsızlık ama harici monitör ya da klavye kullanırken epey zahmetli olabiliyor
    • “Herkes OpenBSD’yi bıraktı” ifadesi abartı. Benim gibi hâlâ kullananlar var
    • Hatta bu noktada, saldırı vektörü her yerde olduğuna göre USB’yi de yasaklamak gerekir diye şaka yapılabilir

  • Sony WH-1000XM4’te en güncel firmware ile whitepaper adımlarını tekrar denedim ama komutlara yanıt gelmedi ya da hata döndü
    Tam emin olamam ama yamalanmış gibi görünüyor

  • Özetle, çeşitli üreticilerin kulaklıkları hem Bluetooth Classic hem de BLE üzerinde savunmasız
    Kimlik doğrulama olmadan çalışan RACE protokolünü kullanıyorlar ve bu sayede bellek dump’ı almak ve anahtar çalmak mümkün
    Saldırgan bu anahtarlarla cihazı sahte bir kulaklık gibi gösterip akıllı telefona erişebilir
    Arama kabul etme, mikrofon dinleme gibi işlemler de mümkün olduğundan iki faktörlü kimlik doğrulamayı atlatmaya kadar gidebilir
    Hafifletme yöntemi, savunmasız cihazları kullanmamak ya da Bluetooth’u kapatmakla sınırlı
    Acaba araç içi yonga setlerinde de aynı sorun var mı

  • Sonuçta 3.5mm jack’i kaldırma işini Apple başlatmıştı. Resmi gerekçe “su geçirmezlik”ti

    • Apple bunu “cesaret (courage)” diye savunduğunda herkes alay etmişti ama sonunda diğer üreticiler de peşinden gitti
      Artık jack girişi olan üst sınıf telefon bulmak zor
    • Aslında suya dayanıklı telefonlar arasında da jack girişi olan çok model var
    • Apple, yer tasarrufu ve uzun vadeli stratejiyi gerekçe göstermişti
      Bunun yerine USB-C kulaklık ekosistemi büyüdü ve yüksek kaliteli DAC dongle’lar da alternatif oldu
      İlgili liste: USB-C Headphones
    • Bugünlerde kablolu kulaklık kullanan birini neredeyse hiç görmüyorum. Sanki sadece CD’de ısrar eden biri gibi hissettiriyor

  • Videoyu henüz izlemedim ama sayfadaki ifadeler bile bunun cihazın tamamen ele geçirilmesi düzeyinde bir zafiyet olduğunu gösteriyor
    Saldırganın kulaklık üzerinden akıllı telefona kadar saldırabilmesi özellikle dikkat çekici
    Sunumda zafiyetin özeti, etkileri, yama sürecinin zorlukları ve hatta firmware düzeltme aracının yayımlanması ele alınıyor

    • Saldırı aşamalarının özeti şöyle:
      1. Yakın mesafeden bağlantı kurma
      2. Kimlik doğrulama olmadan bellek dump’ı alma
      3. Dump içinden Bluetooth Link Key çıkarma
      4. Çıkarılan anahtarla akıllı telefona sahte kulaklık olarak bağlanma
        Sonrasında saldırgan, güvenilen çevre birimi yetkileriyle akıllı telefonu kontrol edebilir
        Kaynak: HN yorumu

  • Razer’dan bahsedilmedi ama Blackshark V3 Pro vericisinde Airoha AB1571DN çipi kullanılıyor
    Kulaklık tarafı belirsiz ve firmware güncelleme geçmişini bulmak da zor

  • Başkan Yardımcısı Kamala Harris yakın tarihli bir röportajda “kablosuz kulaklıklar güvenli değil” demişti
    Video bağlantısı

    • Bunun siyasi bir anlamı olduğunu söylemiyorum ama Harris’in sözlerine güvenmiyorum
      Bluetooth zaten baştan beri güvenliği düşük bir teknoloji ve çoğu implementasyon zayıf
      Referans video: YouTube bağlantısı
    • Genel olarak Bluetooth güvenliği zayıf
      Kullanıcının bağlantının güvenliğini doğrulaması zor ve PIN tabanlı kimlik doğrulama da kullanışsız
      İlgili makale: arXiv makalesi
    • Harris’in söylediği şey gerçek bir zafiyet değil, bu tür risk olasılıklarını dikkate alan politik bir önlem gibi görünüyor
    • Bu zafiyetin zaten haziran civarında açıklanmış olduğu anlaşılıyor; röportaj tarihinin bundan önce olup olmadığını merak ediyorum

  • Demo sırasında insanların telefon numarasıyla şaka aramaları yaparak sunumu bozması üzücüydü

  • Bu sunum yüzünden bazı devlet kurumları rahatsız olabilir

    • Ama bazı ülkeler belki de tam tersine memnun bile olabilir; bu zafiyeti kimin bildiğine bağlı