Peretas Ubah Perangkat IoT ini Jadi Alat Sadap

Dua peneliti keamanan asal Tiongkok yang bekerja untuk Tencent, menguraikan bagaimana mereka telah berhasil memanfaatkan speaker pintar Echo dari Amazon untuk mengakses perangkat Echo lainnya melalui jaringan nirkabel yang sama, dan mengubahnya menjadi perangkat penyadapan.

Hal tersebut mereka sampaikan di konferensi peretas DEF CON di Las Vegas. Jadi Mereka memanfaatkan sejumlah kerentanan untuk melakukan serangan tersebut. Efek serangan terakhir yang mereka lakukan termasuk mendengarkan, mengontrol konten pembicara dan demonstrasi lainnya.

Peretasan yang mereka lakukan bukanlah peretasan yang mudah. Keduanya harus menghapus chip memori flash pada Echo dan melakukan modifikasi. Kemudian mengunggah firmware baru dan menyolder chip kembali ke perangkat.

Selanjutnya mereka mengakses jaringan Wi-Fi yang sama dengan target mereka sebelum mereka dapat memanfaatkan fitur perangkat lunak Amazon yang memungkinkan perangkat Echo yang lain dapat berkomunikasi satu sama lainnya.

Peretasan itu dapat dilakukan dengan mengakses antarmuka Alexa melalui situs web Amazon menggunakan sejumlah kerentanannya seperti pengalihan URL, downgrade HTTPS dan scripting antar situs dan kemudian mengakses perangkat lain di jaringan yang sama.

Kesulitan dalama melakukan peretasan adalah perlunya untuk secara fisik perangkat dekat dengan perangkat lain untuk meretasnya, serta mengetahui kata sandi Wi-Fi. Para peneliti itu juga telah menginformsikan kepada Amazon tentang eksploitasi yang mereka lakukan dan Amazin telah memperbaiki kerentanan digunakan.

Banyak juga yang telah mencoba meretas Echi melalui jalu yang paling jelas. Di mana pihak ketiga dapat menggunakan aplikasi mereka berfungsi dengan perangkat. Dalam hal ini adalah dengan membuat dan memperkenalkan malware ke dalam sistem tetapi itu mengharuskan pengguna untuk secara aktif menambahkannya ke sistem mereka, dan juga penyerang perlu melakukan trik penipuan tambahan pada saat melakukan serangan.

Saat ini teknologi digital assistant sudah diterima dan dimengerti oleh masyarakat luas. Oleh karena itu banyak perusahaan yang telah mempertimbangkan untuk menempatkannya di area publik seperti sekolah dan hotel. Tentunya ini juga akan meningkatkan kemungkinan orang yang tidak bertanggung jawab menggunakan teknik yang sama seperti yang sudah dijelaskan oleh kedua peneliti tersebut.

Sebenaranya risiko keamanan terbesar berasal dari Amazon sendiri. Di awal tahun ini saja percakapan pribadi antara pasangan yang sudah menikah direkam dan dikirim melalui email kepada seseorang yang ada di daftar kontak suami.

Hal tersebut terjadi setelah perangkat lunak pada perangkat memutuskan bahwa ia telah mendengar serangkaian perintah yang memberitahukannya untuk merekam memo suara dan mengirimkannya.

Sumber