Bluetooth Low Energy(BLE) Protokolü: Teknik Mimari, Güvenlik Zafiyetleri ve Donanım Tabanlı Sinyal Manipülasyonu

Günümüzün dijital ekosisteminde kablosuz iletişim teknolojileri, kullanıcı deneyimini kesintisiz hale getiren çeşitli protokollerle gelişmektedir. Bu gelişimin merkezinde yer alan protokollerden birisi olan Bluetooth Low Energy (BLE), düşük güç tüketimi ve yüksek erişilebilirlik prensipleri üzerine inşa edilerek nesnelerin interneti ve giyilebilir teknolojilerin temel noktalarından birisi haline gelmiştir. Özellikle Apple’ın Continuity ve Samsung’un Offline Finding gibi kompleks ağ yapıları, bu protokolün sunduğu reklam (advertising) ve tarama (scanning) mekanizmalarını kullanarak cihazlar arası senkronizasyonu sağlamaktadır. Ancak bu yüksek erişilebilirlik, beraberinde ciddi güvenlik risklerini ve gizlilik sızıntılarını da getirmektedir. Bu yazı, BLE protokolünün fiziksel ve bağlantı katmanı mimarisinden başlayarak, endüstri lideri üreticilerin tescilli uygulama katmanı çözümlerini, Flipper Zero ve HackRF One gibi gelişmiş donanım araçlarıyla gerçekleştirilen sinyal manipülasyonlarını ve literatüre giren kritik sistem zafiyetlerini derinlemesine analiz etmektedir.

Yasal Uyarı: Bu yazı güvenlik araştırmalarına dair laboratuvar ortamlarında ve izinli yerlerde yapılabilecek testlere ilişkin araştırma yazısı amacıyla tasarlanmıştır. Bluetooth/BLE sinyallerini manipüle etmek, kullanımını engellemek, bu sinyalleri kullanan cihazların erişimini engellemek yasal yaptırımlara sebebiyet verebilir. Türkiye Cumhuriyeti sınırları içerisinde elektronik haberleşmenin güvenliği 5809 sayılı Elektronik Haberleşme Kanunu çerçevesinde bilişim sistemlerinin güvenliği ise 5237 sayılı Türk Ceza Kanunun 244. Maddesi uyarınca ise yasal zeminde koruma altına alınmaktadır.
https://www.mevzuat.gov.tr/mevzuat?MevzuatNo=5809&MevzuatTur=1&MevzuatTertip=5
https://www.mevzuat.gov.tr/mevzuat?MevzuatNo=5237&MevzuatTertip=5&MevzuatTur=1

Terminoloji

ISM -> Industrial, Scientific and Medical – Sınai, Bilimsel ve Tıbbi Cihaz
TLV -> Tag-Length-Value – Tip-Uzunluk-Değer
IPCC -> Inter-Processor Communication Controller – Süreçler Arası İletişim Kontrolcüsü
ERE -> Energy Resource Exhaustion – Enerji Kaynağı Tüketme
SNR -> Signal-to-Noise Ratio – Sinyal Gürültü Oranı
HID -> Human Interface Device – İnsan Arayüz Cihazı
IDS -> Instrusion Detection System – Saldırı Tespit Sistemi
Nibble -> Bilgisayar biliminde 4 bitlik bir grubu ifade eden, 8 bitlik bir baytın (byte) yarısı olan bilgi birimidir.
Bluetooth Beacon -> BLE teknolojisini kullanarak sürekli olarak benzersiz bir kimlik sinyali yayan küçük, kablosuz vericilerdir.
Interference -> Parazit oluşma durumu.

Bluetooth Low Energy Protokol Mimarisi ve Spektrum Analizi

BLE, 2.4 GHz ISM (Industrial, Scientific and Medical) bandında faaliyet gösteren, frekans atlamalı (Frequency Hopping) bir radyo sistemidir. Klasik Bluetooth’un 79 kanallı yapısından farklı olarak BLE, spektrumu 40 adet 2 MHz genişliğinde kanala bölerek hem cihaz keşif süreçlerini hızlandırır hem de enerji verimliliğini optimize eder.

Fiziksel Katman ve Kanal Yapılandırması

BLE spektrumu, operasyonel işlevlerine göre iki ana kategoriye ayrılır: birincil reklam kanalları ve veri iletim kanalları. Reklam kanalları (37, 38 ve 39 numaralı kanallar), radyo spektrumunun her iki ucunda ve merkezinde stratejik olarak konumlandırılmıştır. Bu konumlandırmanın temel amacı, Wi-Fi ağlarının en yoğun kullanıldığı 1, 6 ve 11 numaralı kanallar ile oluşabilecek elektromanyetik girişimi (interference) minimize etmektir.

Kanal Endeksi	Frekans (MHz)	Kullanım Amacı	Wi-Fi Etkileşimi
37	2402	Birincil Reklam	Wi-Fi Kanal 1’in Altında
38	2426	Birincil Reklam	Wi-Fi Kanal 1 ve 6 Arasında
39	2480	Birincil Reklam	Wi-Fi Kanal 11’in Üstünde
0 – 36	2404 – 2478	Veri İletişimi	Adaptif Frekans Atlama Alanı

İletişim süreci, bir çevresel cihazın reklam paketlerini bu üç kanalda dairesel bir şekilde yayınlamasıyla aktive olur. Merkezi cihazlar ise bu kanalları sürekli veya periyodik olarak tarayarak reklam paketlerini yakalar ve bağlantı kurulumu için gerekli parametreleri elde eder. Reklam aralığı (), sistemin tepki hızı ve güç tüketimi arasındaki dengeyi belirleyen kritik bir parametredir. Apple gibi üreticiler, cihaz keşif hızını artırmak için başlangıçta 20 ms gibi çok kısa reklam aralıkları önerirken, güç tasarrufu gereken durumlarda bu aralığın 1022.5 ms veya üzerine çıkarılmasına izin verirler. Her reklam paketine 0 ms ile 10 ms arasında değişen sözde-rastgele bir gecikme eklenmesi, birden fazla cihazın aynı anda yayın yapması durumunda oluşabilecek sinyal çakışmalarını önlemek adına tasarlanmış bir mekanizmadır.

Bağlantı Katmanı ve Veri Güvenilirliği

Cihazlar arasında bir bağlantı kurulduğunda, iletişim birincil reklam kanallarından 37 adet veri kanalına kaydırılır. Bu aşamada spektrumun verimli kullanımı için adaptif frekans atlama mekanizması devreye girer. BLE spesifikasyonları kanal seçim sürecini yöneten iki farklı algoritma tanımlamaktadır:

1. Algoritma 1: Geleneksel cihazlar için zorunlu olan bu yöntem, sabit bir atlama artış değeri kullanarak kanalları sıralı bir şekilde seçer.
2. Algoritma 2: Bluetooth 5.0 ile tanıtılan bu yapı, bağlantıya özgü erişim adresi (Access Address) ve her bağlantı olayında artan bir sayaç değerini kullanarak daha yüksek bir rastgelelik ve güvenlik sunar.

Veri iletimi sırasında kullanılan kanal haritalama (channel remapping) özelliği, çevresel gürültü veya Wi-Fi sinyalleri nedeniyle bozulan kanalların “kötü” olarak işaretlenmesini sağlar. Bu mekanizma sayesinde paketler yalnızca “iyi” olarak etiketlenen kanallar üzerinden iletilir, bu da gürültülü RF ortamlarında bile yüksek veri bütünlüğü ve düşük gecikme süreleri sağlar.

Apple Continuity Protokolü Analizi

Apple, iOS ve macOS cihazları arasında Secret Garden olarak adlandırılan kapalı ve kusursuz bir ekosistem yaratmak için Continuity protokolünü geliştirmiştir. Bu protokol, Bluetooth Low Energy reklam paketlerinin Üreticiye Özel Veri (AD Type 0xFF) alanını kullanarak cihazın durumu, kullanıcının o anki aktivitesi ve donanım parametreleri hakkında sürekli yayın yapmaktadır.

Paket Yapısı ve TLV Formatı

Continuity mesajları, BLE reklam yükünün bir parçası olarak taşınır ve Apple’ın 0x004C şirket kimliği ile tanımlanır. Bu kimliği takip eden veri bloku, Tip-Uzunluk-Değer (TLV) formatında yapılandırılmış birden fazla Continuity mesaj türünü içerebilir. Araştırmalar, bu mesajların büyük bir kısmının şifrelenmemiş olduğunu ve pasif bir saldırgan tarafından kolayca analiz edilebildiğini ortaya koymuştur.

Mesaj Türü (HEX)	Fonksiyonel Tanım	Veri İçeriği ve Gizlilik Etkisi
0x05	AirDrop	SHA256 ile karılmış Apple ID, e-posta ve telefon bilgileri
0x07	Proximity Pairing	AirPods pil seviyesi, kapak açma sayacı, model ve renk kodu
0x0C	Handoff	Monotonik artan sıra numarası, pano (clipboard) doluluk durumu
0x0F	Nearby Action	Wi-Fi parola paylaşımı, Apple TV kurulumu, arama durumu
0x10	Nearby Info	Ekran kilidi, aktif kullanıcı etkileşimi, sürüş modu

Özellikle Nearby Info (Tür 0x10) mesajı, kullanıcı davranışlarının takibi için en kritik kaynaktır. Bu paketlerde yer alan Action Code alanı, kullanıcının o an cihazında bir video izlediğini (0x09), telefonla konuştuğunu (0x0E) veya yeni bir etkileşimde bulunduğunu (0x0B) çevreye ilan eder. Bu durum, tescilli bir protokolün sağladığı konforun, kullanıcı mahremiyetinden verilen büyük bir ödün olduğunu kanıtlamaktadır.

AirPods Proximity Pairing ve Donanım İzleme

Apple’ın AirPods kulaklıkları, kılıf kapağı açıldığı anda çevreye yoğun bir şekilde Proximity Pairing mesajları (Tür 0x07) göndermeye başlar. Bu mesajların bit düzeyi analizi, cihazın fiziksel durumu hakkında benzersiz veriler sunar:

• Batarya Seviyesi (Byte 6): 1 byte uzunluğundaki bu alan, sol ve sağ kulaklıkların pil durumunu 4’er bitlik nibble’lar halinde saklar. İlginç bir şekilde, araştırmacılar bu değerlerin bazen %100’ün üzerine çıktığını gözlemlemiştir.
• Kapak Açma Sayacı (Byte 8): Cihazın ömrü boyunca kutu kapağının kaç kez açıldığını tutan 8 bitlik bir değerdir. Bu sayaç, cihazın MAC adresi değişse bile sabit kaldığı veya öngörülebilir şekilde arttığı için, cihazın uzun süreli takibi (fingerprinting) amacıyla kullanılabilmektedir.
• Bağlantı Durumu (Byte 10): Cihazın o anki operasyonel modunu (Disconnected, Idle, Music, Call) temsil eden bir numaralandırmadır.

Bu veriler, Apple’ın MAC adresi randomizasyonu yoluyla sağlamaya çalıştığı anonimlik katmanını tamamen etkisiz hale getirebilmektedir. Çünkü tescilli protokolün içindeki sabit veriler, rastgele değişen ağ kimlikleri arasında bir köprü vazifesi görmektedir.

Samsung SmartThings Find ve Akıllı Etiket Güvenliği

Samsung, 2021 yılında tanıttığı Offline Finding ağı ile kayıp cihazların bulunması için BLE tabanlı geniş ölçekli bir altyapı oluşturmuştur. Bu sistem, Samsung ekosistemindeki cihazların (telefonlar, tabletler, saatler) birbirlerinin konumlarını anonim olarak raporlamasına dayanmaktadır.

Protokol İşleyişi ve Gizlilik Kimlikleri (Privacy IDs)

Samsung’un Offline Finding protokolü, kayıp moduna giren veya sahibinden uzaklaşan bir cihazın BLE üzerinden benzersiz işaretler (beacons) yayınlamasıyla çalışır. Bu işaretlerin içinde Privacy ID olarak adlandırılan ve her 15 dakikada bir güncellenen dönen bir tanımlayıcı bulunur.

Privacy ID üretim mekanizması şu temel bileşenlerden oluşur:

• 16-byte Gizli Anahtar: Sunucu tarafından kayıt sırasında cihaza atanan özel bir anahtardır.
• Sabit Başlatma Vektörü (IV): Samsung ekosisteminde genellikle sabit bir değer (+IABCfvBZHJYFUek8vp3Gg==) kullanılır.
• Privacy Pool Size: Tipik olarak 51 olarak belirlenen bu değer, cihazın üretebileceği reklam yüklerinin sınırlı olduğunu gösterir.

Yapılan akademik çalışmalar, bu havuz boyutunun küçüklüğünün (yalnızca 51 farklı paket varyasyonu) ciddi bir tasarım zafiyeti olduğunu ortaya koymuştur. Saldırganlar, bu sınırlı yükleri gözlemleyerek bir cihazı farklı zaman dilimlerinde ve konumlarda aynı fiziksel nesne olarak tanımlayabilmekte, bu da Samsung’un gizlilik vaatlerini zayıflatmaktadır.

Adli Bilişim Analizleri

Samsung ekosisteminde kayıp bir cihazın takibi yapıldığında, Galaxy cihazlarının dahili depolama birimlerinde kalıcı adli izler oluşur. Adli bilişim uzmanları için bu izlerin analizi, bir suç mahallindeki etiket varlığını veya cihaz hareketliliğini kanıtlamak adına kritiktir:

• Cihaz Tanımlayıcıları: logId değeri etiket için değişmez ve benzersiz bir kimlik sunarken, deviceId her yeni kayıt sürecinde değişen bir UUID’dir.
• Konum Geçmişi: com.samsung.android.oneconnect paketi altındaki SQLite veritabanları, son bir haftaya ait enlem, boylam, doğruluk oranı ve adres bilgilerini saklar.
• Anti-Forensics Direnç: Kullanıcı bir etiketi uygulamadan silse dahi, InternalSettings.db veritabanı silinen cihaza ait referansları koruyabilir, bu da geçmişe dönük araştırmaları mümkün kılar.

Verilerin büyük bir kısmı şifrelenmiş olsa da, günlük toplanan konum raporlarının sayısı ve bunların zaman damgaları, cihazın ne kadar süreyle hareketli olduğunu veya belirli bir noktada ne kadar kaldığını anlamak için yeterli istatistiksel veri sağlamaktadır.

Donanım Tabanlı Sinyal Manipülasyonu Araçları

BLE sinyallerinin manipülasyonu, gelişmiş yazılım tanımlı radyo (SDR) araçları ve taşınabilir siber güvenlik cihazları sayesinde artık yalnızca spesifik ortamlarda araştırılmaya özgü bir faaliyet olmaktan çıkmıştır.

Çok Yönlü RF Analiz Platformu Flipper Zero

Flipper Zero, 1 GHz altı radyo frekansları, RFID, NFC ve Bluetooth LE gibi protokollerle etkileşime girebilen modüler bir güvenlik aracıdır. Cihazın kablosuz yeteneklerinin merkezinde, düşük güç tüketimli ve çift çekirdekli STM32WB55RG yongası yer alır.

Flipper Zero’nun BLE yetenekleri şu ana başlıklarda toplanmaktadır:

1. Reklam Taklidi (Spoofing): Apple, Google ve Microsoft’un hızlı eşleşme paketlerini taklit ederek cihazlarda sahte bildirimler oluşturabilir.
2. BLE Scanner: Yakındaki cihazların MAC adreslerini ve yayınladıkları ham verileri (raw data) yakalayabilir.
3. HID Emülasyonu: Kendisini bir Bluetooth klavye veya fare olarak tanıtarak hedef cihazlara komut enjekte edebilir.

Flipper Zero varsayılan olarak bu modülleri cihaz içerisinde barındırmaz ancak topluluk tarafından geliştirilen firmware ve modüller aracılığıyla cihaza eklenebilir. Bu noktada araştırma çerçevesinde kalmak ve yasal sınırları korumak önemlidir.

HackRF One ve Gelişmiş SNR Optimizasyonu

HackRF One, 1 MHz ile 6 GHz arasında sinyal alıp gönderebilen, tam kapsamlı bir SDR cihazıdır. BLE gibi hızlı frekans atlamalı sistemleri başarılı bir şekilde analiz etmek için, cihazın kazanç (gain) parametrelerinin matematiksel bir hassasiyetle ayarlanması gerekir.

HackRF One’ın alıcı katmanında üç ana kazanç kontrolü bulunur:

1. RF Amplifier (0 veya 14 dB): Doğrudan antenden gelen sinyali yükseltir. Zayıf sinyallerin tespiti için gereklidir ancak gürültü tabanını da aynı oranda artırır.
2. LNA (IF Gain, 0-40 dB): Ara frekans aşamasında kazanç sağlar. Friis kaskad gürültü formülüne göre, sistemin toplam gürültü faktörü (), ilk yükseltici stage’i tarafından baskı altına alınır:
   
   Bu nedenle, sinyal kalitesini (SNR) maksimize etmek için LNA kazancının mümkün olan en yüksek, VGA kazancının ise doygunluğu önleyecek kadar düşük tutulması teorik bir zorunluluktur.
3. VGA (Baseband Gain, 0-62 dB): Sinyalin sayısallaştırılmasından hemen önceki son yükseltme aşamasıdır.

HackRF One, PortaPack eklentisi ve Mayhem firmware’i ile birleştiğinde, bilgisayardan bağımsız, taşınabilir bir sinyal manipülasyon laboratuvarına dönüşür. Bu yapı, gerçek zamanlı spektrum analizi, sinyal kaydı ve tekrarı (replay attack) gibi gelişmiş saldırı vektörlerini mümkün kılar.

BLE Cihazlarında Kritik Sistem Zafiyetleri ve Exploit Analizi

BLE tabanlı kablosuz ekosistemlerin güvenliği, hem tescilli protokollerin mantıksal hataları hem de düşük seviyeli yazılım bileşenlerindeki bellek yönetimi zafiyetleri ile tehdit edilmektedir.

CVE-2023-42941 (Sour Apple) Analizi

2023 yılının en çok ses getiren zafiyetlerinden biri olan CVE-2023-42941, Apple’ın Bluetooth yığınındaki bir mantıksal hatayı istismar ederek Hizmet Dışı Bırakma (DoS) saldırısına olanak tanımaktadır.

Saldırının mekanizması şu adımları izler:

1. Saldırgan cihaz (örneğin Flipper Zero), Apple Continuity protokolündeki “Proximity Pairing” paketlerini taklit eder.
2. Her bir paket için rastgele bir kaynak MAC adresi üretilir.
3. iPhone tarafındaki sharingd servisi, her reklam paketini yeni bir cihaz eşleşme talebi olarak algılar ve kullanıcı arayüzünde bir popup penceresi tetikler.
4. Saniyede onlarca reklam paketi gönderildiğinde iOS’un bildirim kuyruğu şişer, UI thread kilitlenir ve sistem aşırı kaynak tüketimi nedeniyle çöker veya yeniden başlar.

Apple, bu durumu iOS 17.2 sürümünde reklam paketlerinin işlenme sıklığına timeout ve rate limiting ekleyerek kontrol altına almıştır. Ancak bu saldırı düşük seviyeli kablosuz protokollerin ne kadar savunmasız olabileceğini gösteren ikonik bir örnek olarak kalmıştır.

Bellek Yönetimi ve Tampon Bellek Taşmaları

BLE tabanlı saldırılar bazen daha derin sistem açıklarının kapısını aralayan birer taşıyıcı görevi görür. Örneğin ImageIO çerçevesindeki tampon bellek taşması (CVE-2023-41064) ve Apple Wallet’taki doğrulama hatası (CVE-2023-41061), BLASTPASS olarak bilinen ve Pegasus casus yazılımını bulaştırmak için kullanılan saldırı zincirinin parçalarıdır.

CVE ID	Etkilenen Bileşen	Saldırı Tipi	Teknik Sonuç
CVE-2023-41064	ImageIO	Tampon Bellek Taşması	Keyfi kod çalıştırma ve bellek bozulması
CVE-2023-41061	Apple Wallet	Girdi Doğrulama Hatası	Kötü niyetli eklerle sistem ele geçirme
CVE-2023-5841	OpenEXR	Heap Taşması	Scanline örnek sayısının yanlış doğrulanması

Bu zafiyetler, özellikle görüntü işleme kütüphanelerinin tescilli kablosuz protokollerle gelen verileri (örneğin AirDrop üzerinden gelen önizlemeler) işlerken yeterli bellek sınır kontrolü yapmamasından kaynaklanmaktadır.

Enerji Tüketimi ve Hizmet Engelleme: Denial of Sleep (DoSL)

BLE protokolünün temel vaatlerinden birisi olan yıllarca süren pil ömrü, saldırganlar için Denial of Sleep (DoSL) isminde yeni bir DoS saldırı yüzeyi oluşturmaktadır. Bu saldırılar, cihazın düşük güç moduna (sleep mode) geçmesini engelleyerek enerji kaynaklarını hızla tüketmeyi amaçlar.

Matematiksel Enerji Modeli ve ERE Saldırıları

Bir kablosuz sensör düğümünün yaşam süresi (), cihazın aktif olduğu süre () ve uykuda olduğu sürenin () bir fonksiyonudur. Ortalama güç tüketimi şu denklemle ifade edilebilir:

Saldırganlar, Energy Resource Exhaustion – ERE(Enerji Kaynaklarını Tüketme) saldırıları kapsamında hedef cihazı sürekli olarak geçersiz eşleşme taleplerini veya reklam paketlerini işlemeye zorlar. Bu durum değerini anormal düzeyde artırarak normal şartlarda 2 yıl dayanması beklenen bir pilin birkaç gün içinde tükenmesine yol açar. Araştırmalar, Bluetooth ve Wi-Fi tabanlı pil tüketme saldırılarının mobil cihazlarda pil deşarj hızını %18.5’e kadar hızlandırabildiğini göstermiştir.

Güvenlik Kritik Sistemlere Etkisi

DoSL saldırıları yalnızca akıllı telefonları değil, BLE kullanan kritik tıbbi cihazları da (kalp pilleri, insülin pompaları vb.) hedef alabilmektedir. Bu cihazların pillerinin vaktinden önce tükenmesi kullanıcı hayatını doğrudan tehlikeye atan bir durumdur. Bu nedenle BLE yığınlarının reklam paketlerini işlerken donanım tabanlı filtreler kullanarak ana işlemciyi (Application Processor) uyandırmadan karar vermesi hayati bir savunma mekanizmasıdır.

STM32WB55 ve Gömülü Real-Time İşleme

BLE manipülasyon araçlarının başarısı, donanım katmanındaki mikrodenetleyici mimarisine sıkı sıkıya bağlıdır. Flipper Zero’da kullanılan STM32WB55 serisi, radyo işlemlerini uygulama katmanından izole ederek mikrosaniye düzeyinde zamanlama hassasiyeti sunar.

Çift Çekirdekli Mimari ve İzolasyon

STM32WB55, heterojen bir çift çekirdekli yapıya sahiptir:

• Arm Cortex-M4 (64 MHz): Ana uygulama işlemcisidir (CPU1). Kullanıcı arayüzü, ekran yönetimi ve genel mantık burada çalışır.
• Arm Cortex-M0+ (32 MHz): Radyo işlemcisidir (CPU2). BLE 5.4, Thread ve Zigbee yığınlarını yönetir.

Bu iki çekirdek arasındaki iletişim, IPCC (Inter-Processor Communication Controller) ve donanım semaforları üzerinden gerçekleştirilir. Güvenlik açısından, radyo yığınını çalıştıran Cortex-M0+ çekirdeğinin belleği uygulama işlemcisinden izole edilmiştir. Flipper Zero gibi cihazlar, bu mimariyi kullanarak tescilli radyo protokollerini mikrosaniye hassasiyetinde taklit edebilmekte ve standart BLE denetleyicilerinin yakalayamayacağı kadar hızlı reklam paketleri enjekte edebilmektedir.

Adli Bilişim Analizi ve Ağ Güvenliği Yaklaşımları

BLE saldırılarının tespiti ve analizi, hem ağ trafiğinin izlenmesini hem de cihazlar üzerindeki adli izlerin incelenmesini gerektirir.

Saldırı Tespiti ve Anomaliler

BLE Spam saldırılarını tespit etmek için Android tabanlı tarama uygulamaları en pratik çözüm olarak karşımıza çıkmaktadır. Saldırı belirtileri şunları içerir:

• Reklam paketlerinin (ADV_IND) saniyede 10-20 paketin üzerine çıkması.
• Aynı şirket kimliğine (örneğin 0x004C) sahip paketlerin her seferinde farklı MAC adresleri ile gelmesi.
• Paket yükü içindeki sıra numaralarının (Sequence Numbers) tutarsızlığı veya anormal artışı.

Ağ yöneticileri için spektrum analizi yapan IDS (Intrusion Detection System) sistemleri, 37-39 numaralı reklam kanallarındaki yoğunluğu izleyerek potansiyel bir saldırıyı erkenden raporlayabilir.

Korunma Mekanizmaları

Bireysel kullanıcılar için BLE saldırılarından korunmanın en etkili yolu ihtiyaç duyulmadığında Bluetooth’u kontrol merkezinden değil, doğrudan sistem ayarlarından kapatmaktır. Kontrol merkezi kapatmaları genellikle bağlantıyı keser ancak reklam kanallarının taranmasını durdurmaz. Ayrıca Android 14 ve üzeri sistemlerde “Nearby Share” bildirimlerini kapatmak ve Windows 11’de “Swift Pair” özelliğini devre dışı bırakmak, bildirim tabanlı DoS saldırılarının etkisini önemli ölçüde azaltmaktadır.

Flipper Zero ile BLE Spam Uygulaması

Yasal Uyarı: Bu bölümde yer alan test, izole lab ortamında yapılmıştır. BLE Spam uygulamaları DoSL ve DoS saldırılarına yol açarak hizmet kesintisine sebep olabilmektedir. İzniniz olmayan sistemlerde yapılacak olan saldırılarda yasal prosedürler devreye girmektedir.

Bu uygulamadaki amacımız Flipper Zero ile BLE Settings Flood yöntemi aracılığıyla hedef cihazın bağlanabileceği tüm bluetooth cihazlarını doldurmak. Uygulama için Flipper Zero üzerine bir BLE Spam modülü yüklenir. Ardından hedef cihazın bluetooth bağlantısı kontrol edilir. Sonrasında cihaz ve Flipper Zero izole edilerek saldırı başlatılır.

Saldırı öncesi cihazın gördüğü bluetooth aygıtları:

Saldırı sonrası cihazın gördüğü bluetooth aygıtları:

Saat bile değişmeden saniyelik olarak bluetooth cihazların dolduğu gözlemlenebilmektedir.

Sonuç ve Gelecek Perspektifi

Kablosuz iletişim dünyasında Bluetooth Low Energy’nin sunduğu kolaylıklar, protokol tasarımı ve uygulama katmanı implementasyonlarındaki zayıf noktalar nedeniyle birer güvenlik tehdidine dönüşmüştür. Apple Continuity paketlerinin sızdırdığı davranışsal veriler ve Samsung SmartTag ekosistemindeki Privacy ID havuzu kısıtlamaları, tescilli protokollerin gizlilik açısından ne kadar kırılgan olabileceğini göstermektedir.

Gelecekte, Flipper Zero ve HackRF One gibi cihazların yaygınlaşması, kablosuz “fiziksel güvenlik” kavramını yeniden tanımlayacaktır. Üreticilerin, reklam paketlerini işleyen servislerde (örneğin sharingd) daha katı bellek yönetimi ve hız sınırlama mekanizmaları uygulaması kaçınılmazdır. Ayrıca, IoT cihazlarının enerji verimliliğini korumak adına “Denial of Sleep” saldırılarına karşı donanım tabanlı doğrulama katmanlarının (hardware-level authentication) standart hale getirilmesi gerekmektedir. Siber güvenlik topluluğu için ise anahtar strateji, kablosuz spektrumun “görünmez” olduğu yanılsamasından kurtularak, her reklam paketini potansiyel bir veri sızıntısı veya saldırı vektörü olarak değerlendirmek olacaktır.

TL;DR

Bluetooth Low Energy (BLE), IoT ve giyilebilir cihazlarda yaygın olarak kullanılan düşük güç tüketimli bir kablosuz protokoldür. Ancak Apple Continuity ve Samsung Offline Finding gibi ekosistemlerde kullanılan BLE reklam paketleri, şifrelenmemiş veya tahmin edilebilir veriler nedeniyle gizlilik sızıntılarına ve cihaz takibine yol açabilmektedir. Flipper Zero ve HackRF One gibi araçlar, bu sinyallerin analiz edilmesini ve manipüle edilmesini mümkün kılarak spam, DoS ve enerji tüketme (Denial of Sleep) saldırılarını pratik hale getirmektedir. Bu durum BLE tabanlı sistemlerin, özellikle IoT ve mobil cihaz ekosistemlerinde, beklenenden daha geniş bir saldırı yüzeyine sahip olduğunu göstermektedir.

Kaynaklar

https://argenox.com/library/bluetooth-low-energy/ble-advertising-primer
https://pmc.ncbi.nlm.nih.gov/articles/PMC11859364/
https://www.researchgate.net/publication/311920752_Denial_of_Sleep_attacks_in_Bluetooth_Low_Energy_wireless_sensor_networks
https://ar5iv.labs.arxiv.org/html/1904.10600
https://www.usenix.org/system/files/usenixsecurity24-yu-tingfeng.pdf
https://arxiv.org/pdf/2210.14702
https://docs.silabs.com/bluetooth/4.0/bluetooth-general-system-and-performance/adaptive-frequency-hopping
https://semfionetworks.com/blog/ble-advertisment-channels/
https://ww2.mathworks.cn/help/bluetooth/ug/bluetooth-le-link-layer-packet-generation-and-decoding.html
https://github.com/kavishdevar/librepods/blob/main/Proximity%20Pairing%20Message.md
https://www.bitsight.com/blog/apple-vulnerabilities-cisa-known-exploited-vulnerabilities
https://www.researchgate.net/publication/353486336_Cybersecurity_Concerns_in_Smart-phones_and_applications_A_survey
https://www.researchgate.net/publication/262257076_Abusing_notification_services_on_smartphones_for_phishing_and_spamming