Cyberthreat.id – Semakin pintar rumah Anda, semakin rentan pula dari serangan siber.

Setidaknya ini cukup tergambarkan dalam dua kerentanan yang ditemukan peneliti terhadap lampu pintar (smart light) IKEA.

Kelemahan itu (CVE-2022-39064 dan CVE-2022-39065) ditemukan oleh dua peneliti keamanan siber dari Synopsys Cybersecurity Research Center, Kari Hulkko dan Tuomo Untinen pada Juni 2021.

Melalui dua kerentanan itu, penyerang bisa mengeksploitasi dan mengendalikan sistem bohlam menjadi berkedip cepat atau mati.

“Setelah serangan ini … pengguna tidak dapat mengontrol bohlam dengan aplikasi IKEA Home Smart atau remote control Trådfri.

Pertama, CVE-2022-39064 adalah kerentanan pada bohlam pintar Trådfri LED1732G11 untuk semua versi.

Kerentanan tersebut dilaporkan ke IKEA pada 17 Juni 2021. Tanggapan perusahaan cukup lama yaitu empat bulan. Baru pada 29 Oktober 2021, IKEA mengonfirmasi bahwa perbaikan akan dibuat untuk kerentanan tersebut.

Butuh lebih dari setengah tahun, yaitu pada 16 Juni 2022, perbaikan kerentanan dirilis, dikutip dari blog Synopsys, diakses Senin (10 Oktober 2022).

Namun, kata peneliti, tidak ada versi yang tersedia yang sepenuhnya memperbaiki kerentanan tersebut. Artinya, kerentanan belum terselesaikan.

Bahkan, versi V-2.3.091 memperbaiki masalah beberapa malformed frame, tetapi tidak dengan semua malformed frame yang diketahui.

Terkait dengan temuan, biasanya karena pertimbangan perjanjian kedua pihak, penjelasan kerentanan baru dirilis ke publik pada 5 Oktober kemarin.

Kedua, CVE-2022-39065 adalah kerentanan yang mempengaruhi gateway bohlam pintar Trådfri. Kerentanan ini jika dikuasai oleh penyerang membuat bohlam tidak responsif dan tidak bisa dikontrol pencahayaanya oleh pemilik.

Kelemahan itu berdampak pada Trådfri Gateway tipe E1526 versi 1.17.44 dan yang lebih lama.

Lini masa pelaporan hingga pengungkapan terhadap kerentanan ini berbarengan dengan kelemahan pertama.

Pada kerentanan kedua, solusinya lebih pasti yaitu upgrade perangkat lunak gateway ke versi 1.19.26 atau yang lebih baru.

Tanggapan IKEA

IKEA mengatakan telah bekerja dengan Synopsys sejak pengungkapan untuk meningkatkan "keamanan dan fungsionalitas" perangkat pintarnya.

"Penting untuk dicatat bahwa masalah yang diidentifikasi tidak membahayakan keselamatan bagi pelanggan kami dan dapat direplikasi dengan cara lain yang sudah diketahui karena desain protokol Zigbee," kata perusahaan kepada kepada The Record.

"Kami juga ingin mengklarifikasi bahwa tidak mungkin mendapatkan akses ke informasi sensitif di dalam Trådfri Gateway atau perangkat pintar kami."

IKEA tidak menanggapi permintaan komentar tentang kapan patch lengkap akan dirilis.

Pakar keamanan siber juga CEO Viakoo, Bud Broomhead, mengatakan, bahaya dari eksploitasi kedua bug tersebut ialah reset ke versi pabrik.

Viakoo adalah perusahaan keamanan terkait dengan barang-barang terkoneksi (Internet of Things/IoT).

Menurut Bud, banyak perangkat IoT, seperti halnya produk IKEA, memakai jaringan Zigbee, jenis jaringan nirkabel yang digunakan untuk perangkat berdaya renda dan kecepatan rendah, seperti radio, perangkat medis, dan alat otomatisasi di rumah.

Namun, perangkat IoT yang terkoneksi ke jaringan Zigbee dapat dikendalikan penyerang.

Menurut dia, dengan temuan itu tentu perlu dilakukan peningkatan keamanan pada jaringan Zigbee agar sesuai standar keamanan yang dipercaya.

“Saya bersyukur ini hanyalah bohlam, bukan kunci pintu, kamera, atau sistem kontrol industri yang semuanya dapat dihubungkan melalui Zigbee,” ujar Bud.[]