Pada perhelatan Expo dan Konferensi Infosecurity ISACA Amerika Utara di New York minggu ini, Ken Munro dari Pen Test Partners, membagikan cerita kepada para pengunjung, apa yang disebut sebagai “perjalanan yang mengerikan” dari hal – hal yang berhubungan dengan issue keamanan IoT. Munro memulai cerita tentang produk IoT, yaitu boneka, yang dipasarkan dengan nama ‘My Friend Cayla’. Produk boneka ini hanyalah salah satu contoh tentang issue keamanan produk komersil berbasiskan IoT, produk yang kurang memperhitungkan faktor keamanan pada saat proses pembuatan produk tersebut, yang akhirnya melahirkan celah keamanan.
Cayla, merupakan boneka yang memungkinkan pengguna (anak – anak), ber-interaksi melalui teknologi pengenalan suara (speech recognition). Yang membuat produk ini menarik (terutama untuk orangtua sang anak), adalah bahwa Cayla diperlengkapi dengan modul GPS dan wireless. Modul – modul ini digunakan untuk melacak dan mendengarkan suara sang anak. Walaupun Cayla diklaim sebagai produk yang ramah anak dan aman dari serangan siber, Munro malah menunjukan hal yang sebaliknya. Ditemukan sejumlah celah keamanan pada sistem, dengan apa yang dia sebut sebagai “celah besar keamanan”, yang memungkinkan Munro dan teamnya meng-exploitasi Cayla.
Hanya dengan menggunakan program sederhana yang mampu “mensimulasikan” aplikasi mobile Cayla, Munro dan rekannya mampu mengakses portal/website dari perusahaan yang memproduksi Cayla dan mengubah status pengguna, dari 1 menjadi 0, untuk memberikan mereka akses penuh ke boneka Cayla, sekaligus memungkinkan Munro untuk mengakses data – data dari pemilik boneka Cayla. Mereka bahkan mampu memodifikasi database perusahaan pembuat Cayla, untuk me-nonaktifkan fitur yang mem-filter kata – kata tertentu; dengan di-nonaktifkannya fitur ini Munro dapat mensimulasikan boneka Cayla yang memiliki karakter “jahat” yang dapat mengeluarkan kata – kata kasar / umpatan.
Munro bahkan dapat mengakses data – data pengguna / pemilik boneka Cayla yang lain dan me-nonaktifkan fitur filter kata – kata ini pada boneka – boneka tersebut dan lebih buruk dapat mengambil/mendengarkan rekaman percakapan anak dengan boneka.
Munro mengatakan bahwa serangan yang dia simulasikan hanyalah satu dari sekian banyak celah keamanan lain, yang ada pada Cayla, seperti buruknya desain akses internet (nirkabel), modem selular yang dapat diretas dan SIM card yang tidak di-enkripsi.
Celah – celah keamanan ini sebenarnya tidak hanya ditemukan pada boneka Cayla saja, tapi nyaris semua produk yang ber-label “cerdas” pada perangkat rumah tangga, seperti termostat dan perangkat pelacak lokasi/posisi anak. Issue yang sama juga ditemui pada banyak produk komersial dan industrial, seperti kamera web, kontroler gedung cerdas dan perangkat keamanan lainnya.
Riset yang diadakan oleh Pen Test Partners menunjukan bahwa secara garis besar, masalah – masalah keamanan ini ditimbulkan oleh:
- Perangkat lunak/software dan perangkat keras/hardware yang sifatnya “cut-and-paste”. Perusahaan pembuat produk sedikit sekali menyentuh sisi keamanan produk
- Kurangnya evaluasi dari penggunaan layanan dari pihak ketiga; terutama evaluasi dari sisi keamanan
- Terlalu banyaknya rantai suplai, baik dari sisi engineering, material sampai perakitan. Semuanya (rantai suplai) ini tanpa melalui proses assessment yang detail.
“Di masa depan, hidup kita akan semakin lebih terkoneksi dan perusahaan pembuat produk tidak bisa tidak, harus lebih memperhatikan secara detail produk yang mereka kembangkan dan distribusikan, mereka harus memastikan produk mereka harus tahan dari serangan – serangan siber”, dikatakan oleh Munro.