Para peneliti Kaspersky menemukan kerentanan pada robot mainan pintar yang populer dapat menjadikan anak-anak sebagai sasaran potensial penjahat dunia maya. Keretanannya memungkinkan peretas mengambil kendali sistem mainan dan menyalahgunakannya untuk berkomunikasi secara diam-diam dengan anak-anak melalui obrolan video tanpa izin orang tua. Risiko yang dapat membahayakan mencakup pengambilan detail sensitif seperti nama pengguna, jenis kelamin, usia, dan bahkan lokasi mereka.
Robot berbasis Android yang dirancang untuk anak-anak dilengkapi dengan kamera video dan mikrofon internal. Teknologi ini memanfaatkan kecerdasan buatan untuk mengenali dan berinteraksi dengan anak-anak berdasarkan nama dan menyesuaikan responsnya berdasarkan suasana hati anak, serta secara bertahap mengenal mereka seiring berjalannya waktu. Untuk menjelajahi potensi mainan secara maksimal, orang tua diharuskan mengunduh aplikasinya ke perangkat seluler mereka. Melalui aplikasi ini, orang tua dapat memantau perkembangan aktivitas belajar anak bahkan melakukan panggilan video dengan anak melalui robot.
Selama pengaturan awal, orang tua diinstruksikan untuk menghubungkan mainan tersebut ke jaringan Wi-Fi, selanjutnya menghubungkannya ke perangkat seluler mereka, kemudian memberikan nama dan usia anak. Selama fase ini, para ahli Kaspersky telah menemukan masalah keamanan yang mengkhawatirkan: API (Application Programming Interface) yang bertanggung jawab untuk meminta informasi ini tidak memiliki penegakan otentikasi, sebuah langkah yang mengonfirmasi siapa yang dapat mengakses sumber daya jaringan Anda.
Hal ini berpotensi memungkinkan penjahat dunia maya untuk mencegat dan mengakses berbagai jenis data – termasuk nama anak, usia, jenis kelamin, negara tempat tinggal, dan bahkan alamat IP mereka – dengan menyadap dan menganalisis lalu lintas jaringan. Terlebih lagi, kelemahan ini memungkinkan penjahat dunia maya mengeksploitasi kamera dan mikrofon robot, melakukan panggilan langsung ke pengguna, tanpa melewati otorisasi yang diperlukan dari akun wali.
Jika seorang anak menerima panggilan ini, penyerang dapat berkomunikasi secara diam-diam, tanpa persetujuan orang tua. Dalam kasus seperti ini, penyerang dapat memanipulasi pengguna, berpotensi memancing mereka keluar dari rumah atau mempengaruhi mereka untuk melakukan perilaku berisiko.
Selain itu, masalah keamanan aplikasi seluler induk dapat memungkinkan penyerang mengambil kendali robot dari jarak jauh dan mendapatkan akses tidak sah ke jaringan. Dengan menggunakan metode brute force untuk memulihkan enam digit kata sandi satu kali (OTP), dan tanpa batasan pada upaya yang gagal, penyerang dapat menghubungkan robot ke akunnya dari jarak jauh, sehingga secara efektif membuat perangkat lepas dari kendali pemilik.
Temuan penelitian menyeluruh tim dipresentasikan pada sesi panel bertajuk ‘Memberdayakan Kelompok Rentan dalam Lingkungan Digital’ di Mobile World Congress (MWC) 2024. Tim Kaspersky melaporkan semua kerentanan yang mereka temukan kepada vendor, yang segera menambalnya.
Untuk menjaga semua perangkat pintar tetap aman dan terlindungi, para ahli Kaspersky menyusun tips berikut:
- Selalu perbarui perangkat: Perbarui firmware dan perangkat lunak semua perangkat Anda yang terhubung secara berkala, termasuk mainan pintar. Pembaruan ini sering kali berisi patch keamanan penting yang mengatasi kerentanan yang diketahui.
- Lakukan riset sebelum membeli: Sebelum membeli mainan pintar atau perangkat apa pun yang terhubung, telitilah reputasi produsen dalam hal keamanan dan privasi. Pilih perangkat dari merek ternama yang mengutamakan keamanan dan memberikan pembaruan rutin.
- Berhati-hatilah dengan izin aplikasi: Tinjau dan batasi izin yang diberikan pada aplikasi seluler yang terkait dengan perangkat pintar Anda. Hanya berikan akses yang diperlukan ke fitur dan data, dan hindari pemberian hak istimewa yang berlebihan.
- Matikan saat tidak digunakan: Matikan mainan pintar saat tidak digunakan untuk mencegah pengumpulan data. Jika perangkat memiliki mikrofon, simpanlah di tempat yang sulit dijangkau saat tidak aktif, dan tutupi atau arahkan kamera mana pun saat tidak digunakan.
- Gunakan solusi keamanan yang andal: Gunakan solusi keamanan yang dapat diandalkan untuk membantu mengamankan dan melindungi seluruh ekosistem rumah pintar Anda.
