Serangkaian kelemahan Bluetooth yang baru-baru ini diungkapkan yang mempengaruhi miliaran perangkat Android, iOS, Windows dan Linux kini telah ditemukan di jutaan asisten pribadi berbasis suara AI, termasuk Amazon Echo dan Google Home.
Seperti yang diperkirakan selama penemuan ancaman yang mengerikan ini, beberapa perangkat lunak IoT dan smart-devices yang sistem operasinya sering diperbarui lebih jarang daripada smartphone dan desktop yang juga rentan terhadap serangan BlueBorne.
BlueBorne adalah nama yang diberikan pada serangan canggih yang memanfaatkan total delapan kerentanan implementasi Bluetooth yang memungkinkan penyerang dalam jangkauan perangkat yang ditargetkan untuk menjalankan kode berbahaya, mencuri informasi sensitif, mengambil kendali penuh, dan meluncurkan serangan man-in-the-middle.
Memicu eksploitasi BlueBorne tidak mengharuskan korban mengklik tautan atau membuka file, semua tanpa memerlukan interaksi pengguna. Selain itu, sebagian besar produk keamanan kemungkinan tidak akan bisa mendeteksi serangan tersebut.
Yang lebih menakutkan adalah bahwa sekali penyerang mendapatkan kontrol dari satu perangkat berkemampuan Bluetooth, dia dapat menginfeksi salah satu atau semua perangkat di jaringan yang sama.
Kerentanan Bluetooth ini di patch oleh Google untuk Android pada bulan September, Microsoft untuk Windows pada bulan Juli, Apple untuk iOS satu tahun sebelum pengungkapan, dan distribusi Linux juga segera setelah pengungkapan.
Namun, lebih dari 5 miliar perangkat masih belum memasang patch akan kerentanan ini dan terbuka terhadap serangan.
Perusahaan keamanan IoT Armis, yang pada awalnya menemukan masalah ini, kini telah mengungkapkan bahwa sekitar 20 juta perangkat Amazon Echo dan Google Home juga rentan terhadap serangan yang memanfaatkan kerentanan BlueBorne.
Amazon Echo terpengaruh oleh dua kerentanan berikut:
- Kerentanan remote code execution di kernel Linux (CVE-2017-1000251)
- Kelemahan pengungkapan informasi di server SDP (CVE-2017-1000250)
Karena varian Echo yang berbeda menggunakan sistem operasi yang berbeda, perangkat Echo lainnya dipengaruhi oleh kerentanan yang ditemukan di Linux atau Android.
Sedangkan perangkat Google Home hanya terpengaruh oleh satu kerentanan:
- Kerentanan pengungkapan informasi di stack Bluetooth Android (CVE-2017-0785)
Kerentanan Android ini juga bisa dimanfaatkan untuk menimbulkan kondisi denial-of-service (DoS).
Karena Bluetooth tidak dapat dinonaktifkan pada salah satu asisten pribadi yang diaktivasi, penyerang di dalam jangkauan perangkat yang terkena dampak dapat dengan mudah meluncurkan serangan.
Perusahaan keamanan tersebut memberi tahu Amazon dan Google tentang temuannya, dan kedua perusahaan tersebut telah merilis patch dan mengeluarkan pembaruan otomatis untuk Amazon Echo dan Google Home yang memperbaiki kerentanan terhadap serangan BlueBorne.
Pelanggan Amazon Echo harus memastikan bahwa perangkat mereka berjalan di versi v591448720 atau yang lebih baru, sementara Google belum membuat informasi apapun mengenai versinya.
