Insinyur Spanyol secara tidak sengaja "mengambil alih" 7.000 robot penyapu DJI, kerentanan keamanan perangkat rumah pintar kembali ditemukan

Kendaraan rumah pintar membawa kenyamanan dalam kehidupan, tetapi juga dapat membuka pintu belakang keamanan siber. Baru-baru ini, seorang insinyur perangkat lunak dari Spanyol secara tidak sengaja menemukan bahwa dia dapat mengendalikan sekitar 7.000 robot penyedot debu di seluruh dunia dari jarak jauh, bahkan melihat gambar secara langsung dan mengumpulkan banyak informasi perangkat. Dengan pasar rumah pintar diperkirakan mencapai 139 miliar dolar AS pada tahun 2032, pertumbuhan industri yang pesat menimbulkan pertanyaan penting apakah mekanisme keamanan dapat mengikuti inovasi, menjadi masalah krusial yang tidak boleh diabaikan.

Mencoba memodifikasi robot penyedot debu, tetapi secara tidak sengaja menemukan celah keamanan global

Menurut media teknologi The Verge, kejadian ini bermula dari eksperimen yang dilakukan oleh insinyur perangkat lunak dari Spanyol, Sammy Azdoufal. Awalnya, dia hanya ingin melakukan rekayasa balik terhadap robot penyedot debu DJI Romo yang baru dibelinya, agar perangkat dapat dikendalikan melalui controller PlayStation 5.

Namun, setelah dia membuat aplikasi kendali jarak jauh sendiri dan menghubungkannya ke server DJI, perkembangan tak terduga terjadi: bukan hanya satu robot yang merespons, tetapi sekitar 7.000 robot penyedot debu di seluruh dunia secara bersamaan “menganggap dia sebagai pemiliknya”.

Azdoufal menemukan bahwa dia tidak hanya bisa melihat gambar dari kamera real-time perangkat, mendengar suara, tetapi juga mengumpulkan lebih dari 100.000 data pesan dari berbagai robot. Lebih mengejutkan lagi, dia juga dapat memperkirakan lokasi geografis perangkat melalui alamat IP robot.

Ini berarti, selama dia memiliki kredensial akses yang sama, dia bisa secara massal mengendalikan perangkat pengguna lain.

Tanggapan DJI: Celah sudah diperbaiki, Azdoufal khawatir akan dituntut

Perlu dicatat bahwa Azdoufal menyatakan dirinya tidak berniat jahat dan tidak secara sengaja melakukan peretasan terhadap perangkat lain. Dia secara sukarela melaporkan celah ini, berharap masalah dapat diperhatikan dan diperbaiki.

DJI kemudian mengonfirmasi bahwa masalah telah diselesaikan dan secara terbuka berterima kasih kepada Azdoufal atas laporannya di platform komunitas X.

DJI menyatakan: “Tanggapan bertanggung jawab Anda sangat berharga bagi kami.”

Azdoufal juga membalas secara humor di X, menyebut dirinya “the vacuum guy”, dan bercanda bahwa banyak orang menawarkan robot penyedot debu gratis.

Namun demikian, karena liputan media yang meluas, Azdoufal juga khawatir DJI akan mencari alasan untuk menuntutnya.

Ahli keamanan siber memperingatkan: Keamanan perangkat pintar sering diabaikan

Faktanya, ini bukan kasus tunggal. Profesor Ilmu Komputer dari University of Surrey, Alan Woodward, menunjukkan bahwa banyak produsen produk pintar pada awal pengembangan produk sering menempatkan “inovasi” dan “kecepatan pasar” di prioritas utama, sementara keamanan menjadi opsi yang diperbaiki belakangan.

Woodward mengatakan bahwa industri sering memegang prinsip “bertindak cepat dan melanggar aturan”, berharap meluncurkan produk baru yang lebih murah dan lebih banyak fitur, tetapi pengembangan perangkat lunak sejak awal sudah menunjukkan bahwa jika mengabaikan desain keamanan, akhirnya akan membayar harga berupa celah keamanan.

Dia menambahkan bahwa masalah keamanan perangkat pintar bukan hanya kesalahan satu komponen perangkat lunak, tetapi merupakan masalah desain sistem secara keseluruhan, termasuk:

• Bagaimana perangkat berinteraksi dengan server cloud
• Bagaimana server terhubung dengan aplikasi ponsel
• Apakah mekanisme otentikasi cukup efektif dalam mengisolasi pengguna yang berbeda

Jika salah satu dari aspek ini memiliki kekurangan desain, risiko berantai dapat terjadi.

Pertumbuhan pasar rumah pintar meningkatkan risiko secara bersamaan

Menurut data dari lembaga riset MarketsandMarkets, pasar rumah pintar global diperkirakan akan mencapai 139 miliar dolar AS pada tahun 2032. Berbagai perangkat seperti lampu pintar, kunci pintu, kamera pengawas, monitor bayi, dan sistem pemanas dengan cepat menyusup ke dalam kehidupan rumah tangga.

Namun, sebuah studi dari Journal of Information Security and Applications menunjukkan bahwa peretas pernah berhasil mengendalikan:

• Sistem pencahayaan
• Kunci pintu elektronik
• Kamera keamanan
• Monitor bayi
• Sistem pemanas

Kejadian robot penyedot debu hanyalah salah satu contoh. Semakin banyak perangkat yang terhubung ke internet, semakin besar pula permukaan serangan yang potensial.

Akar celah: Kredensial default dan isolasi hak akses yang tidak memadai

Dalam kasus robot penyedot debu ini, Azdoufal mampu mengendalikan perangkat lain karena kredensial perangkatnya dapat mengakses robot lain.

Woodward menyarankan bahwa perusahaan harus mewajibkan pengguna untuk mengatur kata sandi khusus saat pertama kali mengaktifkan produk, bukan menggunakan kredensial default yang seragam atau dapat diprediksi. Selain itu, tim pengembang juga harus memahami secara menyeluruh bagaimana sistem dapat disusupi, bukan hanya fokus pada satu modul saja.

Dia menegaskan bahwa keamanan siber bukan hanya bagian dari penulisan kode, tetapi bagian dari budaya desain produk secara keseluruhan.

Kesadaran konsumen juga harus ditingkatkan

Selain tanggung jawab perusahaan, konsumen juga harus berhati-hati dalam menilai risiko privasi yang dibawa perangkat pintar.

Woodward mengatakan: “Bukan karena bisa dilakukan, lalu harus dilakukan.”

Perangkat rumah pintar memang membuat hidup lebih nyaman, tetapi ketika perangkat memiliki kamera, mikrofon, dan kemampuan pelacakan lokasi, penyalahgunaan dapat berakibat jauh di luar perkiraan.

Artikel ini tentang insinyur Spanyol secara tidak sengaja “mengambil alih” 7.000 robot penyedot debu DJI, celah keamanan perangkat pintar kembali muncul, pertama kali dipublikasikan di Chain News ABMedia.