Awal minggu ini, seorang peneliti/programmer/peretas etis Matt Kunze merilis postingan blog yang merinci kerentanan serius pada speaker rumah pintar Google yang dapat memberikan kendali jarak jauh kepada peretas atas perangkat tersebut. Dalam postingan blognya, Matt merinci bagaimana kerentanan ditemukan dan kemudian menjelaskan dengan detail yang menakutkan bagaimana tepatnya pintu belakang ini dapat digunakan untuk mengakses berbagai perintah dan tindakan menggunakan pengeras suara Google yang terpengaruh.
Potensi untuk serangan berasal dari kerentanan yang memungkinkan seseorang menambahkan dirinya sendiri ke Aplikasi Google Home. Dari sana, seorang peretas akan memiliki kemampuan untuk mengontrol perangkat yang terhubung ke akun tersebut. Setelah terhubung, penyerang dapat menggunakan perintah suara untuk mengaktifkan mikrofon pada perangkat tertentu. Bisa dibayangkan berapa banyak kekacauan yang bisa terjadi sejak saat itu. Berpotensi, perangkat tersebut kemudian dapat digunakan untuk melakukan apa saja yang dapat dilakukan oleh speaker Google yang terkait dengan perangkat lain yang terhubung di rumah. Berikut beberapa contoh tindakan potensial:
Kontrol sakelar rumah pintarBuka pintu garasi pintarLakukan pembelian onlineBuka kunci dan nyalakan kendaraan tertentu dari jarak jauhBuka kunci pintar dengan secara diam-diam memaksa nomor PIN pengguna
Matt mengalihkan perhatiannya ke tindakan potensial lain yang bisa dilakukan penyerang pemicu setelah mereka memperoleh akses ke Aplikasi Rumah. Panggilan telepon. Dengan mengatur rutinitas yang terpasang pada perangkat tertentu, Matt dapat memicu Google Home Mini miliknya untuk menelepon ponselnya pada waktu tertentu berdasarkan rutinitas tersebut. Dalam video di bawah ini, Anda dapat melihat rutinitas beraksi. Sangat keren sekaligus menakutkan.
Berdasarkan fakta bahwa peretasan memberi penyerang akses ke mikrofon perangkat, Matt memaparkan skenario potensial di mana penyerang dapat menggunakan pengeras suara pintar Google untuk memata-matai rumah tangga. Intinya, memberi penyerang akses tanpa kabel untuk mendengarkan dari speaker kapan saja. Sebagai ditunjukkan dalam entri blognya, peretasan ini tidak mengharuskan penyerang memiliki kredensial wi-fi untuk mengakses perangkat.
Korban menginstal aplikasi Android penyerang yang berbahaya. Aplikasi mendeteksi Google Home di jaringan melalui mDNS. Aplikasi menggunakan akses LAN dasar yang diberikan secara otomatis untuk secara diam-diam mengeluarkan dua permintaan HTTP yang diperlukan untuk menautkan akun penyerang ke perangkat korban (tidak perlu izin khusus).
Matt selanjutnya menjelaskan, secara mendalam, berbagai cara yang dapat dilakukan peretas untuk menerapkan beberapa serangan jahat menggunakan pintu belakang ini di Aplikasi Rumah. Syukurlah, ceritanya memiliki akhir yang bahagia.
Kabar Baik
Karena Pak Kunze adalah seorang peretas yang beretika, kerentanan ini telah dilaporkan ke Google beberapa bulan yang lalu dan tambalan telah dirilis jauh sebelumnya kelemahannya diumumkan. Menurut garis waktu, kerentanan dilaporkan pada Januari 2021 dan perbaikan diterapkan pada April tahun yang sama. Tidak lama setelah itu, Matt dihargai atas usahanya dengan hadiah bug sebesar $107.500 untuk pekerjaannya dalam mengidentifikasi kelemahan ini. Itu berarti Anda tidak perlu khawatir tentang jenis serangan ini terjadi karena tergelincir sebelum berhasil keluar ke alam liar. Anda dapat membaca laporan lengkap dan mendalam tentang blog baru Matt di sini .
