sumber foto : freepik
Sebuah chip Bluetooth yang banyak digunakan dalam perangkat Internet of Things (IoT) di seluruh dunia ditemukan memiliki celah keamanan yang berpotensi mengancam data pengguna. Celah ini memungkinkan penjahat siber mengeksploitasi perangkat dan mencuri informasi sensitif, tanpa terdeteksi oleh pemiliknya.
Penemuan mengejutkan ini diungkap oleh peneliti keamanan siber dari Tarlogic, yang menemukan bahwa chip ESPC32 memiliki “fitur tersembunyi” yang selama ini tidak diungkapkan oleh produsennya, Espressif, sebuah perusahaan semikonduktor berbasis di Shanghai, China.
Chip Bluetooth Murah dengan Risiko Besar
Chip ESPC32 dikenal sebagai solusi konektivitas WiFi dan Bluetooth yang murah, hanya seharga 2 dolar AS (sekitar Rp 32.754) per unit, dan telah terjual lebih dari satu miliar unit sejak 2023. Karena harganya yang terjangkau, chip ini banyak digunakan dalam perangkat IoT rumahan, seperti smart home, perangkat pintar, hingga sensor industri.
Namun, di balik popularitasnya, Tarlogic menemukan bahwa fitur tersembunyi dalam chip ini dapat digunakan untuk menjalankan perintah tertentu, mengaktifkan fungsi tambahan, hingga mengekstrak data rahasia dari perangkat yang menggunakannya.
Pada awalnya, para peneliti menyebut celah ini sebagai “backdoor”—sebuah akses tersembunyi tanpa izin resmi. Namun, setelah penyelidikan lebih lanjut, mereka menyimpulkan bahwa celah ini lebih tepat disebut sebagai “fitur tersembunyi” karena adanya perintah rahasia di Host-Controller Interface (HCI).
HCI sendiri merupakan standar antarmuka Bluetooth yang digunakan untuk mengirim perintah, menerima data, dan mengontrol perangkat. Dalam kasus chip ESPC32, terdapat perintah tersembunyi dalam HCI yang memungkinkan akses tak terbatas ke sistem memori chip.
Bagaimana Penjahat Siber Bisa Memanfaatkan Celah Ini?
Menurut para peneliti, celah di ESPC32 dapat dimanfaatkan oleh hacker untuk melakukan berbagai jenis serangan siber. Beberapa potensi ancaman yang bisa terjadi, antara lain:
- Manipulasi Perangkat: Penjahat siber dapat menyamar sebagai perangkat terpercaya dan mengelabui pengguna untuk terhubung dengan perangkat mereka.
- Pencurian Data Sensitif: Informasi penting dari perangkat yang terhubung, seperti ponsel, komputer, dan perangkat pintar lainnya, dapat dicuri meskipun perangkat dalam mode offline.
- Akses ke Percakapan Pribadi: Hacker bisa mendapatkan akses ke obrolan pribadi atau komunikasi bisnis, yang dapat dimanfaatkan untuk memata-matai individu maupun perusahaan.
Hingga saat ini, Espressif belum memberikan tanggapan resmi terkait temuan ini. Masih belum jelas apakah perusahaan akan menutup celah ini melalui pembaruan firmware atau menyediakan langkah perlindungan tambahan agar fitur tersembunyi ini tidak dapat disalahgunakan.
Keberadaan celah keamanan ini menjadi peringatan serius bagi pengguna perangkat IoT, terutama mereka yang mengandalkan chip ESPC32 dalam sistem mereka. Para ahli keamanan menyarankan agar pengguna lebih berhati-hati dalam menghubungkan perangkat IoT mereka ke jaringan yang tidak aman dan memantau perkembangan pembaruan dari Espressif.
