Bug di Speaker Google Home Mungkinkan Hacker Nguping Percakapan Pengguna

Bug di Speaker Google Home Mungkinkan Hacker Nguping Percakapan Pengguna - Tekno

, Jakarta - Bug di speaker pintar Google Home memungkinkan hacker mengontrol perangkat ini dari jarak jauh dan mengubahnya menjadi alat pengintai dengan mengakses mikrofon.

Seorang peneliti bernama Matt Kunze menemukan masalah tersebut dan menerima imbalan US$ 107.500 atau sekitar Rp 1,6 miliar dari Google atas laporannya pada tahun lalu.

Awal pekan ini, peneliti menerbitkan rincian teknis tentang temuan dan skenario serangan untuk menunjukkan bagaimana bug itu dapat dimanfaatkan. Demikian sebagaimana dikutip dari Bleeping Computer, Senin (2/1/2023).

Saat bereksperimen dengan speaker mini Google Home-nya sendiri, ia menemukan bahwa akun baru yang ditambahkan menggunakan aplikasi Google Home dapat mengirim perintah dari jarak jauh melalui cloud API.

Dengan menggunakan pemindaian Nmap, peneliti menemukan port untuk API HTTP lokal Google Home, di mana dia menyiapkan proxy untuk menangkap lalu lintas HTTPS terenkripsi, dengan harapan dapat merebut token otorisasi pengguna.

Kunze menemukan bahwa dengan menambahkan pengguna baru ke perangkat target adalah proses dua langkah yang memerlukan nama perangkat, sertifikat, dan "cloud ID" dari API lokalnya. Dengan info ini, mereka dapat mengirim permintaan tautan ke server Google.

Untuk menambahkan 'pengguna jahat' ke perangkat Google Home target, analis mengimplementasikan proses penautan dalam skrip Python (salah satu bahasa pemrograman) yang mengotomatiskan eksfiltrasi data perangkat lokal dan mereproduksi permintaan penautan.

Peneliti menerbitkan simulasi peretasan di blog-nya. Namun, serangan itu seharusnya tidak berfungsi pada perangkat Google Home yang menjalankan versi firmware terbaru.

Usia senja memang membutuhkan adaptasi terhadap kemajuan teknologi terkini.

2 dari 7 halaman

Tindakan Google

Kunze menemukan masalah itu pada Januari 2021 dan mengirimkan detail tambahan pada Maret 2021. Google memperbaiki semua masalah pada April 2021.

Tambalan yang dilakukan Google mencakup sistem berbasis undangan baru untuk menangani tautan akun, yang memblokir upaya apa pun yang tidak ditambahkan di Google Home.

Serangan deauthenticating (menargetkan komunikasi antara pengguna dan titik akses nirkabel Wi-Fi) Google Home masih dimungkinkan, tetapi tidak dapat digunakan untuk menautkan akun baru, sehingga API lokal yang membocorkan data perangkat dasar juga tidak dapat diakses.

Untuk perintah "panggil [nomor telepon]", Google telah menambahkan perlindungan untuk mencegah inisiasi jarak jauh melalui rutinitas.

Perlu dicatat bahwa Google Home dirilis pada 2016, rutinitas terjadwal ditambahkan pada 2018, dan Local Home SDK diperkenalkan pada 2020, sehingga penyerang yang menemukan masalah sebelum April 2021 akan memiliki banyak waktu untuk memanfaatkannya.

3 dari 7 halaman

Google Voice Akan Tandai Panggilan Spam dan Penipuan

Di sisi lain, Google Voice akan menandai panggilan yang dicurigai sebagai spam dan akan dengan jelas memberi label khusus, lengkap dengan tanda seru merah besar.

Panggilan spam dan teks memang menjadi masalah besar selama bertahun-tahun. Menurut Federal Communications Commission (FCC), konsumen di AS menerima sekitar 4 miliar robocall per bulan dan mereka mengalami kerugian hampir US$ 30 miliar yang disebabkan panggilan penipuan pada 2021.

Google mengatakan fitur tersebut dirancang untuk membantu melindungi pengguna dari panggilan yang tidak diinginkan dan penipuan yang berpotensi berbahaya.

Label baru yang menandai "penelepon spam yang dicurigai" akan muncul tidak hanya di layar panggilan masuk, tetapi juga di riwayat panggilan untuk referensi di masa mendatang. Demikian sebagaimana dikutip dari Engadget, Minggu (1/1/2023).

Jika pengguna mengonfirmasi bahwa panggilan tersebut adalah spam, panggilan berikutnya dari nomor itu akan langsung menuju ke pesan suara, dan semua entri riwayat panggilannya akan dikirim ke folder spam.

Namun, jika pengguna mengonfirmasi bahwa nomor tersebut sah dan bukan penelepon spam, peringatan itu tidak akan ditampilkan lagi.

Google menggunakan kecerdasan buatan (artificial intelligence/AI) serupa yang bertugas mengidentifikasi panggilan spam di seluruh ekosistemnya untuk menentukan penelepon spam untuk fitur ini.

Untuk diketahui, AI itu diklaim telah menyaring miliaran panggilan spam setiap bulan, yang diduga merugikan banyak pengguna.

Yang perlu diperhatikan, label baru hanya akan muncul jika filter spam di bawah pengaturan Keamanan dimatikan. Jika diaktifkan, semua panggilan yang dicurigai Google sebagai spam akan dikirim ke pesan suara.

4 dari 7 halaman

Google Bayar Gugatan Rp 148 Miliar Atas Pelanggaran Privasi di AS

Google - Vania — Ilustrasi Google/# Perdana

Google setuju untuk membayar US$ 9,5 juta atau sekitar Rp 148 miliar untuk menyelesaikan gugatan yang diajukan oleh Jaksa Agung Washington DC, Amerika Serikat (AS) Karl Racine, yang menuduh perusahaan 'menipu pengguna dan melanggar privasi mereka'.

Google juga setuju untuk mengubah beberapa praktiknya, terutama mengenai cara menginformasikan kepada pengguna tentang pengumpulan, penyimpanan, dan penggunaan data lokasi.

“Google mengarahkan konsumen untuk percaya bahwa mereka bisa mengontrol perusahaan dalam mengumpulkan dan menyimpan informasi tentang lokasi dan bagaimana informasi itu digunakan,” demikian bunyi keluhan yang diajukan Racine pada Januari 2022.

“Pada kenyataannya, konsumen yang menggunakan produk Google tidak dapat mencegah Google mengumpulkan, menyimpan, dan mengambil keuntungan dari lokasi mereka,” sambung keluhan tersebut sebagaimana dilansir Engadget, Sabtu (31/12/2022).

Pihak Racine juga menuduh perusahaan menggunakan 'pola gelap', yang dimaksudkan untuk menipu pengguna Google agar melakukan tindakan yang tidak menguntungkan mereka.

Google juga dituduh berulang kali meminta pengguna untuk mengaktifkan pelacakan lokasi di aplikasi tertentu dan memberi tahu mereka bahwa fitur tertentu tidak akan berfungsi dengan baik jika pelacakan lokasi tidak diaktifkan.

Racine dan timnya menemukan bahwa data lokasi bahkan tidak diperlukan untuk aplikasi tersebut. Mereka menegaskan bahwa Google seakan membuatnya 'tidak mungkin bagi pengguna untuk memilih keluar dari pelacakan lokasi mereka'.

5 dari 7 halaman

Perubahan yang Harus Dilakukan Google

Ilustrasi Mesin Pencari, Google Search. Kredit: Photo Mix via Pixabay

Pembayaran senilai Rp 148 miliar adalah hal receh bagi Google. Perusahaan induknya, Alphabet, bisa menghasilkan pendapatan sebanyak itu, kurang dari 20 menit.

Untuk diketahui, perubahan yang akan dilakukan perusahaan pada praktiknya sebagai bagian dari penyelesaian gugatan mungkin memiliki dampak yang lebih besar.

Pengguna yang saat ini mengaktifkan setelan lokasi tertentu akan menerima pemberitahuan tentang cara menonaktifkan setiap setelan, menghapus data terkait, dan membatasi berapa lama Google dapat menyimpan informasi tersebut.

Pengguna yang menyiapkan akun Google baru juga akan diberi tahu pengaturan akun terkait lokasi mana yang diaktifkan secara default dan ditawarkan kesempatan untuk tak mengikuti opsi itu.

Google juga harus me-maintain halaman web yang merinci praktik dan kebijakan data lokasinya, mencakup cara bagi pengguna untuk mengakses setelan lokasi mereka dan detail tentang bagaimana setiap setelan memengaruhi pengumpulan, retensi, atau penggunaan data lokasi oleh Google.

6 dari 7 halaman

Google Wajib Hapus Data Lokasi

Ilustrasi cara, logout akun, Google. (Photo by Brett Jordan on Unsplash)

Selain itu, Google dilarang membagikan data lokasi seseorang dengan pengiklan pihak ketiga tanpa persetujuan eksplisit dari pengguna.

Perusahaan juga perlu menghapus data lokasi yang berasal dari perangkat atau dari alamat IP dalam aktivitas web dan aplikasi dalam waktu 30 hari, setelah memperoleh informasi tersebut

"Mengingat tingkat pelacakan dan pengawasan luas yang dapat disematkan oleh perusahaan teknologi ke dalam produk mereka yang digunakan secara luas, wajar jika konsumen diberi tahu tentang betapa pentingnya data pengguna, termasuk informasi tentang setiap gerakan mereka, dikumpulkan, dilacak, dan digunakan oleh perusahaan," kata Racine dalam sebuah pernyataan.

"Secara signifikan, resolusi ini juga memberi pengguna kemampuan dan pilihan untuk memilih dilacak, serta membatasi cara informasi pengguna dapat dibagikan dengan pihak ketiga," pungkasnya.

7 dari 7 halaman