Kerentanan keamanan telah diidentifikasi dalam perangkat lunak yang digunakan di jutaan perangkat yang terhubung ke internet dengan fungsi audio dan video.
Menurut para peneliti di Nozomi Networks, cacat tersebut memungkinkan penyerang untuk secara efektif mematikan perangkat pintar – seperti monitor bayi, kamera keamanan rumah (terbuka di tab baru) atau bel pintu pintar (terbuka di tab baru) – Menjadi alat mata-mata.
Sementara itu, dalam konteks bisnis, kelemahan keamanan dapat dieksploitasi untuk mendapatkan akses ke data sensitif karyawan dan pelanggan, atau mengumpulkan informasi tentang teknik produksi.
Bug tersebut telah diberikan peringkat keparahan 9.1/10 sesuai Sistem Penilaian Kerentanan Umum (CVSS), karena cakupan yang luas dan kompleksitas eksploit yang rendah.
Kerentanan keamanan IoT
Komponen perangkat lunak yang menyinggung, yang dikenal sebagai P2P, dikembangkan oleh sebuah perusahaan bernama ThroughTek. Dalam skenario yang sah, P2P SDK digunakan oleh produsen untuk membangun fungsionalitas akses jarak jauh ke dalam perangkat IoT.
Kerentanan dikatakan memengaruhi P2P SDK versi 3.1.5 dan sebelumnya, serta versi apa pun dengan tag nossl. ThroughTek memperbaiki masalah ini dengan versi 3.3, yang diluncurkan pada pertengahan 2020, tetapi sebagian besar perangkat diperkirakan menggunakan build yang sudah ketinggalan zaman.
Proof-of-concept yang dikembangkan oleh Nozomi menunjukkan bahwa versi P2P SDK yang lebih lama memungkinkan paket data dicegat saat transit dan kemudian didekripsi. Paket-paket ini kemudian dapat direkonstruksi menjadi aliran audio atau video yang lengkap.
Di sebuah posting blog (terbuka di tab baru), ThroughTek menyarankan penyerang akan membutuhkan pengetahuan mendalam tentang keamanan jaringan, alat pelacak jaringan, dan algoritme enkripsi untuk melakukan serangan. Dan para peneliti juga mengakui bahwa akan sulit bagi penyerang untuk mengidentifikasi perangkat IoT mana yang rentan dan mana yang tidak.
Meskipun demikian, pabrikan yang menggunakan SDK P2P disarankan untuk segera memutakhirkan ke versi terbaru untuk melindungi dari serangan.
“Pengingat yang paling mengerikan dengan penelitian ini adalah bahwa terlepas dari semua kemajuan teknis dalam perangkat yang terhubung, dan ketergantungan kami pada mereka selama penguncian tahun lalu, IoT masih diliputi oleh ketidakamanan,” kata Nozomi.
