Shenzhen,Cyberthreat.id- Peneliti Perusahaan Cyber Security, Avast, menemukan sebanyak lebih dari 600.000 perangkat Global Positioning System (GPS) tracking buatan China memiliki kerentanan untuk diretas. Pasalnya, perangkat GPS tersebut menggunakan standar password yang sama (default), yaitu 123456.

Perangkat GPS tersebut, tidak hanya digunakan oleh konsumen di China, tetapi juga digunakan di negara lain, seperti di Amerika Serikat, Eropa dan beberapa wilayah lainnya. Perangkat GPS tersebut, umumnya digunakan untuk mengawasi dan menjaga anak-anak, dan para lanjut usia (lansia).

“Sebagai permulaan, pelacak GPS T8 Mini dari Shenzhen i365 Tech memiliki password 123456, sebagai kata sandi default mereka. Mereka semua dikirim dengan kata sandi yang sama, dan kata sandi itu meluas ke hampir 30 model lain dalam jajaran perusahaan,” kata Martin Hron, Peneliti Senior Avast, seperti dikutip dari Cnet, Sabtu, (7 September 2019).

Menanggapi temuan tersebut, Allenli Kyao, Direktur Penjualan Internasional Shenzhen i365 mengungakapkan, bahwa kata sandi default yang tersemat pada perangkat GPS tersebut tidak permanen.

"Kata sandi default 123456 dapat dengan mudah diubah oleh pengguna pada saat pertama kali mereka melakukan unboxing," tulis Kyao,dalam sebuah email.

Sementara itu,  kata sandi default dinilai sebagai cacat umum untuk gadget yang terhubung. Bahkan ada situs web yang menampilkan cuplikan dari kamera keamanan rumah, yang kata sandinya belum disetel ulang oleh orang yang membeli produk.

Masalah yang ditimbulkan, bakal sangat buruk.  Sehingga otoritas kota California, AS, bahkan mengeluarkan undang-undang yang melarang perangkat Internet of Things (IoT) memiliki kata sandi standar.

Avast memperkirakan bahwa lebih dari 600.000 pelacak GPS dari Shenzhen i365 Tech yang digunakan memiliki kelemahan keamanan utama ini. Setelah peretas mengetahui kata sandi, mereka memiliki akses lengkap ke data lokasi real-time orang.

"Ketika saya pertama kali melihatnya, saya berpikir dalam hati, Oh, tidak lagi. Jadi saya tidak terkejut, mengingat fakta bahwa kata sandi standar adalah kerentanan perangkat IoT nomor satu. Yang berbeda dalam hal ini adalah skala fakta, bahwa nama pengguna dapat diprediksi dan juga sifat yang sangat pribadi, seperti data yang diekspos,” tambah Hron.

Berdasarkan temuan Hron, semua permintaan dari aplikasi pelacak GPS tersebut tidak terenkripsi. Yang berarti, siapa pun di jaringan Wi-Fi yang sama dapat mengendalikan perangkat.

“Ini bisa, misalnya, membiarkan peretas potensial membajak mikrofon pelacak dan menguping pembicaraan. Data sensitif dari perangkat, termasuk koordinat lokasi, tidak dienkripsi ketika dikirim ke server online,” ungkap Hron.