Apple, kulaklıklardaki kritik güvenlik açığını düzeltti

Apple, Beats Studio Buds kablosuz kulaklıkları için, yakındaki saldırganların konuşmaları dinlemesine olanak tanıyan kritik bir güvenlik açığını düzeltmek üzere bir güncelleme yayınladı. CVE-2025-20701 olarak adlandırılan bu güvenlik açığı, Bluetooth cihazlarını doğrulayan sistemdeki bir sorundan kaynaklanıyordu ve bir saldırganın kulaklıklara önceden bağlanmış bir cihaz gibi davranmasına izin veriyordu.

Araştırmacılar, bu açığın tam saldırı zincirleriyle kullanılabileceğini ve telefon mikrofonu aracılığıyla seslerin gizlice dinlenmesine yol açabileceğini gösterdi. Apple, Bluetooth menzilindeki bir saldırganın, henüz eşleştirilmemiş ve etkin olmayan bir cihazın mikrofonu aracılığıyla konuşmaları potansiyel olarak dinleyebileceği konusunda uyararak acil bir yama yayınladı.

Beats Studio Buds'ın 1B211 üretici yazılımına entegre edilen güncelleme, kulaklıklar bir iPhone, iPad veya Mac'e bağlandığında otomatik olarak yükleniyor. 10 üzerinden 8,8 olarak derecelendirilen CVE-2025-20701 açığı, Insinuator şirketinden araştırmacılar Dennis Heinze ve Frieder Steinmetz tarafından ortaya çıkarılan ve Airoha Systems üreticisinin Bluetooth yongalarını hedef alan bir dizi güvenlik açığının parçası. Airoha Systems, ortakları için düzeltilmiş bir geliştirme kiti yayınladı.

Bunun ardından Jabra, Bose ve JBL gibi sektördeki diğer aktörler de cihazlarını güvence altına almak için güncellemeler yayınladıklarını duyurdu. Ancak araştırmacılara göre bu açıklar yalnızca gizli dinleme ile sınırlı değildi; tam bir saldırı zinciri, arama geçmişine, kişilere erişime ve hatta kullanıcının haberi olmadan arama yapmaya kadar uzanabiliyordu. Bu yetenekler cihaza ve sisteme göre değişiklik gösteriyor.

Yonga setleriyle ilgili bu güvenlik açıkları münferit bir durum değil. Ocak ayında diğer araştırmacılar, Bluetooth yongalarını etkileyen bir dizi açık olan 'WhisperPair'i ortaya çıkarmıştı.