bug google speaker dimanfaatkan hacker untuk nguping percakapan pengguna

 bug pada speaker pintar google home memungkinkan hacker mengontrol perangkat ini dari jarak jauh dan mengubahnya menjadi alat pengintai dengan mengakses mikrofon.

peneliti bernama Matt kunze menemukan masalah tersebut dan menerima imbalan US$107.500 atau sekitar Rp1,6 miliar dari google atas laporannya pada tahun lalu.

Awal pekan ini, peneliti menerbitkan rincian teknis tentang temuan dan skenario serangan untuk menunjukan bagaimana bug itu dapat dimanfaatkan. Demikian sebagaimana dikutip dari bleeping computer, Senin (2/1/2023).

Saat bereksperimen dengan speaker mini google Home-nya sendiri, ia menemukan bahwa akun baru yang ditambahkan menggunakan aplikasi google home dapat mengirim perintah dari jarak jauh melalui cloud API.

Dengan menggunakan pemindahan Nmap, peneliti menemukan port untuk API HTTP lokal Google Home, dimana dia menyiapkan Proxy untuk menangkap lalu lintas HTTPS terenkripsi, dengan harapan dapat merebut token otorisasi pengguna.

Kunze menemukan bahwa dengan menambahkan pengguna baru ke perangkat target adalah proses dua langkah yang memerlukan nama perangkat, sertifikat, dan "Cloud ID" dari API lokalnya. Dengan info ini, mereka dapat mengirim permintaan tautan ke server Google 

Untuk menambahkan 'pengguna jahat' ke perangkat google home target, analisis mengimplementasikan proses penautan dalam skrip python (salah satu bahasa pemrograman) yang mengotomatiskan eksfiltrasi data perangkat lokal dan mereproduksi permintaan penautan.

Peneliti menerbitkan simulasi peretasan di blog-nya, namun serangan itu seharusnya tidak berfungsi pada perangkat google home yang menjalankan versi firmware terbaru.

Kunze menemukan masalah itu pada 2021 dan mengirimkan detail tambahan pada Maret 2021. Google memperbaiki semua masalah pada April 2021.

Serangan deauthenticating (menargetkan komunikasi antara pengguna dan titik akses nirkabel Wi-Fi) google home masih dimungkinkan, teatpi tidak dapat digunakan untuk menautkan akun baru, sehingga API lokal yang membocorkan data perangkat dasar juga tidak dapat di akses.

Untuk perintah "panggil [nomor telepon]", google telah menambahkan perlindungan untuk mencegah inisiasi jarak jauh melalui rutinitas.

Di sisi lain, google voice  akan menandai panggilan yang dicurigai sebagai spam dan akan dengan jelas memberi label khusus, lengkap dengan tanda seru merah besar.

Panggilan spam dan teks memang menjadi masalah besar selama bertahun-tahun. Menurut federal communications Commission (FCC), konsumen di AS menerima sekitar 4 miliar robocall per bulan dan mereka mengalami kerugian hampir US$30 miliar yang di sebabkan panggilan penipuan pada 2021

Google mengatakan fitur tersebut dirancang untuk membantu melindungi pengguna dari panggilan yang tidak diinginkan dan penipuan yang berpotensi berbahaya.

Label baru yang menandai "penelpon spam yang di curigai" akan muncul tidak hanya di layar panggilan masuk, tetapi juga di riwayat panggilan untuk referensi di masa mendatang. Demikian sebagaimana dikutip dari Engadget, Minggu (1/1/2023).

Google menggunakan artificial Intelligence (kecerdasan buatan) serupa bertugas mengindentifikasi panggilan spam di seluruh ekosistemnya untuk menentukan penelepon spam untuk fitur ini.

Perlu diketahui, AI itu diklaim telah menyaring miliaran panggilan spam setiap bulan, yang diduga merugikan banyak pengguna, yang perlu di perhatikan, label baru hanya akan muncul jika filter spam di bawah pengaturan keamanan dimatikan. Jika di aktifkan, semua panggilan yang dicurigai google sebagai spam akan dikirim ke pesan suara.

Share :