Günlük hayatımızın vazgeçilmezi haline gelen akıllı cihazlar, beklenmedik bir güvenlik açığıyla karşı karşıya. Çinli üretici Espressif’in ürettiği ve 1 milyardan fazla cihazda kullanılan ESP32 Bluetooth çipleri, araştırmacılar tarafından “dokümantasyonu olmayan bir arka kapı” içerdiği iddiasıyla gündemde. Peki bu keşif, kullanıcıları nasıl etkileyebilir?
Bluetooth Güvenliğinde Kritik Açık
İspanyol siber güvenlik firması Tarlogic’ten Miguel Tarascó Acuña ve Antonio Vázquez Blanco’nun RootedCON konferansında açıkladığı bulgulara göre, ESP32 çiplerinde 29 adet gizli komut tespit edildi. “Opcode 0x3F” olarak adlandırılan bu komutlar, yetkisiz bellek erişimi, cihaz taklidi ve veri enjeksiyonu gibi kritik işlemlere izin veriyor.
Araştırmacılar, CVE-2025-27840 kimlikli açığın özellikle tıbbi cihazlar, akıllı kilitler ve mobil aygıtlarda kalıcı kötü amaçlı yazılım enfeksiyonuna yol açabileceğini vurguluyor. Espressif’in henüz resmi bir açıklama yapmaması ise endişeleri artırıyor.
Tehlikenin Boyutları Neler?
- Cihaz Taklidi: Saldırganlar, güvenilir bir cihazın MAC adresini kopyalayarak yetkisiz erişim sağlayabilir.
- Ağ İçi Yayılma: Ele geçirilen bir IoT cihazı, aynı ağdaki diğer aygıtlara sıçrama tahtası olarak kullanılabilir.
- Fiziksel Erişim Riski: USB veya UART bağlantı noktalarına erişimi olan biri, çip üzerinde tam kontrol kazanabilir.
“Bu Sadece Bir Başlangıç”
Uzmanlar, ESP32’nin yaygın kullanımı nedeniyle açığın küresel ölçekte etkili olabileceğini belirtiyor. Özellikle Bluetooth bağlantı mesafesinin kısalığı (10 metre) saldırıyı fiziksel yakınlıkla sınırlasa da, önceden enfekte olmuş bir cihaz üzerinden uzaktan yayılma ihtimali tartışılıyor.
Neler Yapılabilir?
Şimdilik kesin bir çözüm bulunmuyor. Ancak kullanıcıların, cihaz üreticilerinin güncelleme yayınlamasını beklemesi ve Bluetooth’u gereksiz yere açık bırakmamaları öneriliyor. IoT üreticilerinin ise ESP32’nin alternatiflerini değerlendirmesi veya Espressif’ten acil yama talep etmesi kritik önem taşıyor.
Bu keşif, teknoloji dünyasının “güvenli varsayılan” anlayışını yeniden sorgulamasına neden olabilir. Cihazlarımız ne kadar akıllıysa, güvenlik önlemlerimiz de o kadar “uyanık” olmalı.