Cyberthreat.id – Peneliti keamanan siber (cybersecurity) mengkhawatirkan penjahat siber mengembangkan malware berbasis suara. Aplikasi suara diyakini berpotensi bisa mengubah pelantang (speaker) pintar seperti Amazon Alexa dan Google Home menjadi perangkat mata-mata.

Demikian laporan Security Research Labs (SRLabs) yang berkantor di Jerman, seperti dikutip dari SC Magazine, Selasa (22 Oktober 2019)

Menurut peneliti, perangat suara pintar tersebut bisa dimanfaatkan untuk “mendengar” pembicaraan pengguna dan merekam kata sandi.

Penyimpangan yang mungkin terjadi adalah perangkat tersebut bisa menerima perintah suara yang memungkinkan penjahat siber mengubah perangkat menjadi smart spies.

Smart spies merupakan perangkat yang bisa dijadikan sebagai alat mata-mata oleh penyerang hanya dengan menggunakan fitur “Skills” –istilah di Amazon Alexa dan “Action“—istilah di Google Home.

Menurut SRLabs, salah satu kesalahan dari kedua perangkat itu tersebut adalah mengizinkan pengembang  untuk mengubah fungsi dari “Skills” dan “Action” tanpa pengawasan lebih lanjut meski sudah melewati pemeriksaan keamanan.

Masalah kedua, ketika asisten virtual itu tidak dapat mencocokkan perintah suara dengan fungsi yang diberikan sesuai dengan perintah yang biasanya. Misal, perintah mengetahui ramalan cuasa dengan kata “intent”. Ketika mengucapkan “Stop Intent”, perangkat tidak bereaksi, tetapi ketika pengguna hanya mengatakan “Stop” perangkat akan langsung  bereaksi.

Masalah ketiga, para pengembang aplikasi juga dapat menambahkan karakter yang tidak dapat diucapkan pada mesin text-to-speech  kedua layanan tersebut. Imbasnya, asisten virtual terdengar seperti sudah berhenti berbicara, padahal hanya mengambil jeda panjang.

Dengan adanya masalah-masalah tersebut, penyerang akan dengan mudah menipu pengguna untuk mengungkapkan data sensitifnya atau memberi celah untuk orang lain memata-matai komunikasi pengguna kedua layanan tersebut.

Untuk mengelabui pengguna, para penjahat siber akan membuat aplikasi suara yang jahat bekerja di perangkat pengguna saat mereka mengucapkan “Start”, selanjutnya semua yang dikatakan oleh pengguna akan direkam dan dikirimkan kepada pengembang aplikasi jahat.

Tak hanya itu, melalui cara yang sama penjahat siber juga bisa mencuri kata sandi korban dengan memanipulasi pesan seolah aplikasi tidak bekerja.

Amazon mengatakan, sedang melakukan tinjauan keamanan, memblokir celah keamanan yang ditemukan tersebut, serta mendeteksi dan menolak atau menghapus malware suara tersebut.

Sementara itu, Google juga sedang melakukan proses peninjauan dan akan menghapus tindakan jahat tersebut. Google juga mengatakan, asisten virtual Google Home tidak pernah meminta kata sandi akun dari pengguna.

Redaktur: Andi Nugroho