Celah Berbahaya di Chip Bluetooth Ancam Miliaran Perangkat IoT!

Ancaman keamanan kembali menghantui perangkat Internet of Things (IoT) di seluruh dunia. Sebuah celah keamanan ditemukan pada chip Bluetooth yang digunakan secara luas dalam perangkat IoT, membuka peluang bagi penjahat siber untuk mencuri data sensitif. Celah ini terungkap setelah penelitian yang dilakukan oleh perusahaan keamanan siber Tarlogic.

Mereka menemukan bahwa chip ESPC32, yang diproduksi oleh Espressif, memiliki fitur tersembunyi yang memungkinkan eksekusi perintah, akses ke fungsi tambahan, dan bahkan pencurian informasi dari perangkat yang menggunakan chip ini. Temuan ini menimbulkan kekhawatiran global, mengingat miliaran perangkat IoT telah mengadopsi chip ini sejak tahun 2023.

Celah Keamanan di Chip Bluetooth yang Tak Terduga
Penelitian yang dilakukan oleh Tarlogic mengungkap bahwa celah keamanan ini berasal dari fitur tersembunyi yang terdapat dalam chip ESPC32. Fitur ini ditemukan dalam perintah yang ada pada Host-Controller Interface (HCI), sebuah interface standar pada teknologi Bluetooth yang mengontrol komunikasi antara perangkat dan sistem operasinya.

Pada dasarnya, HCI memungkinkan perangkat untuk mengirimkan perintah dan menerima data dari chip Bluetooth. Namun, dalam kasus ESPC32, terdapat perintah yang tidak tercantum dalam dokumentasi resmi dari Espressif. Para peneliti menyebut fitur tersembunyi ini bisa digunakan untuk:

1. Menjalankan perintah tertentu di perangkat yang menggunakan chip tersebut.
2. Mengaktifkan fungsi tambahan yang seharusnya tidak bisa diakses oleh pengguna biasa.
3. Mengekstrak informasi sensitif, termasuk data pribadi, kata andi, hingga informasi komunikasi.

Awalnya, para peneliti mengira celah ini adalah "backdoor", istilah yang digunakan untuk menyebut akses tersembunyi ke sistem yang bisa dimanfaatkan oleh pihak tertentu. Namun, setelah analisis lebih lanjut, mereka menyimpulkan bahwa fitur ini lebih tepat disebut sebagai fitur tersembunyi karena memang secara teknis diintegrasikan ke dalam chip oleh pabrikan.

Chip Murah yang Digunakan di Miliaran Perangkat
Chip ESPC32 buatan Espressif telah menjadi pilihan utama untuk perangkat IoT karena harganya yang terjangkau. Dengan harga sekitar 2 dolar AS (Rp 32.754) per unit, chip ini telah terjual lebih dari satu miliar unit sejak tahun 2023.

Karena murah dan efisien, ESPC32 sering digunakan dalam berbagai perangkat IoT, terutama pada perangkat rumah pintar seperti:

1. Smart speaker dan asisten suara.
2. Sistem keamanan rumah seperti kamera dan sensor pintar.
3. Perangkat kesehatan yang terhubung dengan aplikasi seluler.
4. Perangkat pintar lain seperti lampu, saklar, dan thermostat pintar.

Kepopuleran chip ini di perangkat smart home justru meningkatkan risiko keamanan. Jika fitur tersembunyi di dalamnya disalahgunakan, perangkat yang mengandalkan chip ini bisa menjadi target empuk bagi peretas yang ingin mengakses data pengguna.

Bagaimana Celah Ini Bisa Dimanfaatkan oleh Penjahat Siber?
Para peneliti Tarlogic menjelaskan bahwa penjahat siber dapat mengeksploitasi fitur tersembunyi dalam chip ESPC32 melalui perintah HCI. Hal ini memungkinkan mereka untuk:

1. Memanipulasi pengguna dengan perangkat palsu yang tampak seperti perangkat asli.
2. Mengakses perangkat lain yang terhubung dengan chip ini, seperti ponsel, komputer, atau perangkat pintar lainnya.
3. Mengambil data sensitif seperti informasi login, riwayat komunikasi, hingga informasi keuangan.
4. Mengintai percakapan pribadi atau bisnis, memungkinkan pelaku kejahatan untuk memata-matai individu maupun perusahaan.

Yang lebih mengkhawatirkan, eksploitasi ini bisa dilakukan bahkan ketika perangkat dalam mode offline. Ini berarti perangkat tetap rentan terhadap serangan meskipun tidak terhubung ke jaringan internet.

Apa yang Harus Dilakukan Pengguna?
Meski belum ada respons dari pihak Espressif, pengguna perangkat IoT bisa mengambil beberapa langkah untuk meminimalisir risiko keamanan akibat celah ini:

1. Periksa apakah perangkat menggunakan chip ESPC32. Jika iya, pantau pembaruan keamanan dari pabrikan perangkat tersebut.
2. Gunakan perangkat keamanan tambahan, seperti VPN atau firewall, untuk melindungi komunikasi antara perangkat IoT dan jaringan utama.
3. Matikan fitur Bluetooth dan WiFi saat tidak digunakan, terutama jika perangkat Anda jarang terhubung ke internet.
4. Gunakan kata sandi yang kuat dan sistem autentikasi ganda pada perangkat yang terhubung dengan jaringan.
5. Pantau aktivitas jaringan untuk mendeteksi aktivitas mencurigakan yang berpotensi mengindikasikan peretasan.

Temuan ini menegaskan bahwa keamanan perangkat IoT masih menjadi tantangan besar di era digital. Dengan lebih dari satu miliar chip ESPC32 yang telah digunakan, celah keamanan ini bisa menjadi ancaman besar jika tidak segera ditangani.

Hingga Espressif memberikan klarifikasi dan solusi, pengguna perangkat IoT harus lebih waspada terhadap risiko keamanan yang ditimbulkan. Langkah-langkah pencegahan seperti memantau aktivitas perangkat dan memperbarui firmware secara berkala bisa membantu mengurangi potensi serangan siber.

Sementara itu, komunitas keamanan siber dan peneliti teknologi diharapkan terus meneliti serta memberikan solusi untuk menanggulangi ancaman ini sebelum dampaknya semakin meluas.