Redwood City, CA, 6 Maret 2018 — Perangkat smart speaker (pengeras suara cerdas) seperti yang diperkenalkan Google Home dan Alexa, unit usaha dari Amazon, kian menjamur di rumah-rumah. Mereka membantu orang-orang di rumah untuk bangun tepat waktu, memutar musik dan memfasilitasi aktivitas belanja secara online. Juniper Research memprediksi 55% rumah di AS pada 2022 akan memakai perangkat cerdas ini. Namun, harus diwaspadai bahwa, sekalipun sangat membantu, besarnya volume data pribadi tersimpan di smart speaker dan kepopuleran perangkatnya yang terus tumbuh merupakan potensi yang menarik bagi penjahat siber.
Smart speaker diserang penjahat siber hanya masalah waktu. Pengaturan default perangkatnya masih lemah dari sisi keamanan karena mereka didesain senyaman mungkin digunakan pengguna. Penyetelan awal hanya membutuhkan waktu beberapa menit, yang merupakan fitur menarik bagi pengguna, tapi buruk dari segi keamanan.
Bagaimana pengguna mengonfigurasi smart speaker dan apa saja yang boleh dilakukan perangkatnya merupakan faktor-faktor yang sangat penting. Banyak pengguna bahkan mungkin tidak mempertimbangkan sama sekali untuk menyesuaikan setelan bawaannya karena mereka yakin perangkanya sudah aman.
Email pribadi menjadi sajian untuk umum
Hal pertama yang dilakukan banyak orang saat menyiapkan smart speaker untuk pertama kalinya adalah menghubungkannya dengan akun-akun pribadi, seperti akun di Amazon, Google Mail dan Spotify, menggunakan setelah default perangkat. Tindakan yang sepertinya bukan masalah ini bisa memiliki konsekuensi besar. Tanpa login yang aman atau mengharuskan smart speaker untuk melakukan verifikasi, perangkatnya bisa membacakan email atau memesan barang secara online terlepas dari siapa yang memerintah, sehingga saudara atau siapa pun yang sedang mengunjungi rumah pengguna dapat menarik informasi pribadi dari perangkat.
Jendela rumah bisa dibuka melalui jaringan
Peretas tak perlu meretas smart speaker secara langsung untuk membuatnya melakukan yang mereka inginkan. Mereka bisa menyusup ke dalam jaringan melalui perute (router) yang lemah dari sisi keamanan untuk meretas perangkat Internet of Things (IoT) yang terhubung dengannya, seperti smart speaker. Bila smart speaker-nya tidak disetel untuk memiliki keamanan yang baik, ia akan melakukan apa saja yang diperintahkan peretas, termasuk memberikan akses fisik ke rumah. Jika kunci pintu terhubung dengan smart speaker, pencuri bisa saja memberi perintah untuk membukakan pintu jendela atau pintu depan.
Menunggu kerentanan yang tak terelakkan
Sementara orang terdekat dengan niat buruk merupakan ancaman terbesar bagi Smart speaker, penyerang yang secara langsung menargetkan Smart speaker ini makin tak terelakkan. Kemungkinan besar penyerang akan melakukannya dengan memanfaatkan kerentanan yang tidak diketahui. Seperti tahun lalu saat eksploitasi BlueBorne ditemukan, yang memungkinkan seseorang yang berada dalam jangkauan perangkat berkemampuan Bluetooth untuk mengendalikan perangkat, asalkan mereka memiliki alat yang benar dan mudah tersedia. Smart speaker, Alexa adalah salah satu perangkat yang bisa di hack dengan menggunakan exploit.
Kerentanan sering ditemukan bertahun-tahun kemudian, yang berarti perangkat IoT, seperti smart speaker sudah bisa mengandung kerentanan - kita belum mengetahuinya.
Contoh kerentanan yang dibawa ke tahun-tahun yang lampau setelah kejadian yang tidak disengaja adalah EternalBlue. EternalBlue telah ada di Windows sejauh Windows XP. Hal ini kemudian dikenal luas, karena memungkinkan penyerang untuk melakukan serangan ransomware terbesar dalam sejarah. Laporan menunjukkan bahwa NSA, menemukan EternalBlue dan merahasiakannya. Tidak diketahui kapan tepatnya EternalBlue ditemukan oleh NSA, tapi mungkin juga sudah menemukannya sesaat sebelum jatuh ke tangan yang salah tahun lalu. EternalBlue adalah contoh sempurna tentang bagaimana kerentanan, yang telah diterbangkan di bawah radar selama bertahun-tahun, dapat terungkap dan memungkinkan penjahat dunia maya untuk mendatangkan malapetaka.
Kesadaran akan risiko keamanan dan privasi adalah kunci.
Jumlah smart speaker di rumah kian meningkat dengan cepat dan kemungkinan serangan siber pun semakin banyak sejalan dengan peningkatan jumlah perangkatnya. Semakin kita mengelilingi diri kita dengan perangkat IoT, seperti smart speaker, semakin tinggi motivasi peretas untuk masuk. Smart speaker secara khusus adalah sasaran yang menarik, karena dirancang untuk menyerap sejumlah besar informasi pribadi dan dalam kebanyakan kasus memiliki akses ke berbagai akun, seperti Spotify, Amazon, eBay dan email, yang berisi informasi sensitif.
Kerentanan yang bisa disalahgunakan untuk menyerang speaker cerdas dapat ditemukan kemudian, dalam lima tahun mendatang, atau tidak akan pernah. Hanya waktu yang akan memberitahu. Semakin banyak perangkat cerdas yang digunakan, semakin tinggi risiko kerentanan yang ditemukan, karena penjahat dunia maya memiliki ruang target yang lebih besar, dan hal tersebut lebih bernilai. Alih-alih menunggu hari yang akan datang ketika hacker jarak jauh akan mengakses speaker cerdas atau ketika seseorang yang dekat dengan mereka mencoba mengintipnya, pengguna speaker cerdas perlu lebih sadar akan informasi yang mereka berikan di speaker cerdas mereka dan mempertimbangkan apa yang dapat dilakukan seseorang. jika mereka mendapatkan informasi tersebut.
Kesadaran seputar risiko keamanan perangkat cerdas, termasuk speaker cerdas perlu ditingkatkan. Pengguna harus memberi perhatian khusus saat memilih untuk menggunakan setelan default yang diikuti oleh speaker cerdas mereka, dan saat memutuskan bagaimana mereka ingin menggunakan speaker cerdas mereka. Speaker cerdas dan keamanan perangkat IoT pada umumnya, harus diikutsertakan dan tidak dilemahkan untuk membuat pengguna dan penjahat lebih nyaman.