Apa yang perlu Anda ketahui
- Peneliti Matt Kunze menemukan peretas bisa memata-matai orang di rumah mereka melalui pengeras suara pintar Google.
- Jika akses diperoleh, akun "nakal" akan dapat mendengarkan percakapan Anda, mengontrol perangkat Anda, dan melakukan pembelian online.
- Masalah tersebut dilaporkan pada Januari 2021 dengan Google memperbaikinya pada bulan April di tahun yang sama.
Masalah kritis dalam speaker Google Home memungkinkan telinga untuk masuk ke rumah pengguna tanpa sepengetahuan mereka.
Peneliti Matt Kunze telah menemukan masalah pada Januari 2021 setelah bereksperimen dengan Nest Mini mereka (melalui Komputer Tidur). Ditemukan bahwa akun "nakal" baru dapat ditambahkan melalui aplikasi Home dan akan membiarkan peretas mengontrol perangkat dari jarak jauh melalui cloud API.
Kunze menemukan bahwa untuk melakukan ini, peretas memerlukan nama perangkat, sertifikat, dan "cloud ID" dari API lokal. Dengan semua ini, seorang peretas dapat mengirimkan permintaan tautan untuk perangkat tersebut melalui server Google. Setelah masuk ke perangkat seolah-olah mereka adalah pengguna nakal, Kunze mengungkap beberapa skenario yang dapat terjadi jika seorang peretas melakukan ini ke perangkat orang yang tidak menaruh curiga di rumah.
Skenario yang ditemukan oleh peneliti Kunze mencakup kemampuan peretas untuk memata-matai orang secara mengerikan, tetapi mereka juga dapat membuat permintaan HTTP di jaringan Anda atau bahkan membaca/menulis file di perangkat.
Jika ini tidak cukup meresahkan, seorang peretas dapat mengaktifkan perintah panggilan dari speaker pintar dari jarak jauh, mengaktifkan perangkat Anda untuk menelepon ponsel mereka kapan saja dan mendengarkan percakapan yang terjadi di ponsel Anda rumah. Dalam video demonstrasi Kunze, the Nest Mini empat lampu bersinar biru, yang menandakan bahwa ada panggilan yang sedang berlangsung. Namun, siapa pun yang hanya lewat di rumah mereka mungkin tidak memperhatikan hal ini atau mungkin tidak mengaitkannya dengan panggilan di suatu tempat.
Selain itu, peretas akan memperoleh kemampuan untuk mengontrol sakelar rumah pintar Anda, melakukan transaksi online, membuka kunci pintu rumah dan kendaraan Anda, dan bahkan memanfaatkan PIN Anda yang digunakan untuk kunci pintar.
Kunze menyatakan selama perinciannya tentang bagaimana dia menemukan kerentanan yang membuat frustrasi ini bahwa semua ini tidak mungkin terjadi jika Anda menjalankan firmware terbaru. Ini karena ketika mereka melaporkannya ke Google pada tahun 2021, perusahaan memperbaiki masalah tersebut pada bulan April di tahun yang sama. Peneliti juga menerima $107.500 sebagai kompensasi untuk menemukan kelemahan kritis dan melaporkannya secara rinci.
Peneliti memang menyatakan bahwa perbaikan Google mencakup perlunya undangan ke "Rumah" tempat perangkat terdaftar untuk menautkannya ke akun Anda. Selain itu, Google menonaktifkan kemampuan untuk mengaktifkan perintah panggilan dari jarak jauh melalui rutinitas. Untuk lebih memperkuat keamanan Anda, perangkat rumah pintar Google dengan layar, seperti Sarang Hub Maks, dilindungi oleh kata sandi WPA2 yang ditampilkan melalui kode QR di layar.