Peneliti Keamanan Temukan Kerentanan Baru di Alexa dan Google Home

Peneliti keamanan di SRLab telah mengungkapkan kerentanan baru yang memengaruhi, baik smart speaker Google maupun Amazon yang dapat memungkinkan peretas menguping atau bahkan memalsukan pengguna yang tidak menaruh curiga. Dengan mengunggah perangkat lunak jahat yang menyamar sebagai keterampilan Alexa atau aksi Google yang tidak berbahaya, para peneliti menunjukkan bagaimana orang lain bisa membuat speaker pintar merekam pengguna secara diam-diam atau bahkan meminta kata sandi untuk akun Google mereka.

Kerentanan ini merupakan pengingat yang baik untuk mengawasi perangkat lunak pihak ketiga yang digunakan pada asisten suara dan menghapus apa pun yang tidak digunakan lagi jika memungkinkan. Tidak ada bukti bahwa kerentanan ini telah dieksploitasi di dunia nyata, namun, dan SRLab mengungkapkan temuan mereka kepada Amazon dan Google sebelum dipublikasikan.

Dalam serangkaian video, tim di SRLab menunjukkan cara kerja peretasan tersebut. Dalam semua kasus, tim peneliti dapat mengeksploitasi kelemahan pada kedua asisten suara yang memungkinkan mereka untuk mendengarkan lebih lama dari biasanya. Mereka melakukan ini dengan memberi input  serangkaian karakter yang tidak dapat mereka ucapkan, yang berarti bahwa mereka tidak mengatakan apa-apa, namun terus mendengarkan perintah lebih lanjut. Apa pun yang dikatakan pengguna kemudian secara otomatis ditranskripsi dan dikirim langsung ke peretas.

Perangkat lunak pihak ketiga untuk speaker cerdas harus diperiksa dan disetujui oleh Google atau Amazon sebelum dapat digunakan dengan speaker pintar mereka. Namun, ZDNet mencatat bahwa perusahaan tidak memeriksa pembaruan ke aplikasi yang ada, yang memungkinkan para peneliti untuk menyelinap kode berbahaya ke dalam perangkat lunak mereka yang kemudian dapat diakses oleh pengguna.

Sumber: The Verge

Sumber Foto: Amazon