Kerentanan kritis pada perangkat rumah pintar Shelly telah menyebabkan lebih dari 5,2 juta rumah di Eropa berisiko mengalami akses tidak sah. Peneliti keamanan di Pen Test Partners menemukan bahwa perangkat Shelly generasi terbaru (Gen 4) tetap mengaktifkan titik akses Wi-Fi tersembunyi secara permanen, bahkan setelah tersambung ke jaringan rumah. Pintu belakang ini memungkinkan siapa pun di dekatnya untuk melewati langkah-langkah keamanan, sehingga berpotensi mendapatkan kendali atas pintu, gerbang, dan perangkat lain yang terhubung.
Penjelasan Pintu Belakang Tersembunyi
Tidak seperti model Shelly lama yang secara otomatis mematikan titik akses sementara setelah pengaturan, perangkat Gen 4 membiarkannya berjalan tanpa batas waktu. Cacat desain ini menciptakan titik masuk yang tidak terlihat bagi peretas, memungkinkan mereka mengeksploitasi jaringan pemilik rumah tanpa sepengetahuan mereka.
Konsekuensinya sangat parah. Penyerang dapat menggunakan titik akses terbuka ini untuk membuka kunci pintar, membuka pintu garasi, atau menonaktifkan sistem keamanan – semuanya tanpa memicu alarm atau meninggalkan jejak yang jelas.
Risiko Jaringan Lebih Luas
Masalahnya melampaui perangkat Shelly. Satu perangkat Gen 4 yang disusupi dapat bertindak sebagai gerbang ke seluruh jaringan rumah pintar, termasuk perangkat dari produsen lain. Banyak rumah tangga di Eropa memadukan merek-merek rumah pintar, sehingga menjadikan mereka sangat rentan. Masalahnya bukan hanya pada satu produk yang gagal; ini tentang kegagalan berjenjang di seluruh sistem yang saling berhubungan.
Respon Tertunda, Tanggung Jawab Pengguna
Mitra Uji Pena memberi tahu Shelly tentang kerentanan tersebut, sehingga mendorong perusahaan untuk merilis Firmware 1.8.0 sebagai perbaikan. Namun, pembaruan ini memerlukan instalasi manual, dan sebagian besar pengguna tidak menyadari bahwa mereka perlu mengambil tindakan. Menurut Ken Munro, pendiri Pen Test Partners, Shelly lambat dalam mengkomunikasikan masalah ini karena masalah reputasi.
Shelly mengklaim aplikasi selulernya memandu pengguna untuk mengamankan perangkat dengan benar, tetapi hal ini bergantung pada prosedur pengaturan resmi yang diikuti. Pengguna yang mengonfigurasi perangkatnya secara manual menerima peringatan tentang pengamanan titik akses. Pembaruan firmware yang akan datang akan secara otomatis menonaktifkan titik akses terbuka setelah jangka waktu tertentu, tetapi sampai saat itu, pemilik rumah harus mengambil inisiatif.
Tren Kerentanan IoT yang Berkembang
Ini bukanlah insiden yang terisolasi. Perangkat rumah pintar semakin menjadi sasaran peretas, dengan bel pintu Amazon Ring dan kamera keamanan Dahua menjadi salah satu korbannya baru-baru ini. Masalah mendasarnya adalah terburu-buru memasuki pasar tanpa memprioritaskan langkah-langkah keamanan dasar.
Produsen sering kali mengumpulkan data pengguna untuk menyempurnakan produk, namun kebocoran data ini dapat mengungkap pola perilaku yang dieksploitasi oleh peretas. Masalahnya bukan hanya pada kelemahan perangkat keras; ini juga merupakan praktik pengelolaan data yang buruk.
“Kami telah melihat masalah serupa pada inverter surya dan bahkan menemukan kerentanan serupa pada mobil lebih dari 10 tahun yang lalu.” – Ken Munro, Mitra Uji Pena
Meningkatnya perangkat yang terhubung berarti semakin banyak serangan yang ditujukan kepada pelaku kejahatan. Sampai produsen memprioritaskan keamanan secara default, konsumen akan tetap rentan.
Intinya jelas: keamanan rumah pintar hanya sekuat tautan terlemahnya. Sampai perusahaan mengatasi kelemahan mendasar ini dan konsumen mengambil langkah proaktif untuk mengamankan jaringan mereka, rumah pintar akan tetap menjadi target utama para peretas.
