Jam tangan pintar SMA Watch-M2 | Foto: situs web SMA
Jam tangan pintar SMA Watch-M2 | Foto: situs web SMA
Cyberthreat.id – Jam tangan pintar (smartwatch) anak-anak kini marak di pasaran. Ternyata, jam seperti itu pun tak lepas dari sasaran peretas (hacker) hingga pencurian data pengguna.
Pada Senin (25 November 2019), Divisi Pengujian Barang-barang internet (IoT) AV-TEST, perusahaan spesialisasi evaluasi perangkat lunak antivirus asal Jerman, menerbitkan sebuah laporan tentang pelanggaran jam pintar.
Peneliti mengungkapkan kerentanan pada SMA Watch-M2 asal China yang seharga US$ 35. Dari uji keamanan, peneliti menemukan data pengguna bisa diakses secara publik yang memperlihatkan detail informasi lokasi dan pribadi dari 5.000 anak dan 10.000 akun orangtuanya.
CEO dan Direktur Teknis AV-TEST, Maik Morgenstern, mengatakan timnya sudah lebih dari dua tahun ini meneliti jam tangan anak-anak. Simpulannya, jam tangan merek SMA Watch-M2 adalah yang paling lemah.
"Sejauh ini SMA Watch-M2 asal China menduduki puncak kegagalan keamanan pabrikan," ujar Morgenstern dikutip dari ZDNet, Senin.
Jam pintar China tersebut dirancang terintegrasi dengan aplikasi seluler yang diinstal ponsel pintar orangtua. Orangtua akan mendaftarkan akun di aplikasi yang disediakan produsen.
Peta data pengguna di seluruh dunia yang terungkap ke publik. | Sumber: AV-TEST
Selanjutnya, jam pintar tersebut dikoneksikan dengan aplikasi. Orangtua bisa melacak anak-anak yang memakai jam itu melalui aplikasi.
Tak hanya itu, aplikasi itu juga bisa mendeteksi lokasi anak, melakukan panggilan suara, atau mendapatkan pemberitahuan ketika anak itu akan meninggalkan lokasi.
Banyak produk serupa itu di pasaran dengan rentang harga US$ 30 hingga US$ 200-300.
Morgenstern mengatakan, peneliti bisa mengakses backend jam pintar SMA melalui API web yang dapat diakses publik. Ini backend yang sama dengan aplikasi seluler yang terhubung dengan ponsel orangtua.
“Ada memang token otentikasi di tempat yang seharusnya untuk mencegah akses tidak sah, tetapi penyerang dapat menyediakan token apa pun yang mereka suka, karena server tidak pernah memverifikasi validitasnya,” ujar Morgenstern.
Ia mengatakan, seorang penyerang dapat terhubung ke API web, melihat semua ID pengguna, dan mengumpulkan data pada semua anak dan orangtua.
Dengan menggunakan teknik tersebut, tim peneliti mampu mengidentifikasi lebih dari 5.000 pengguna SMA-Watch-M2 dan lebih dari 10.000 akun orangtua.
Sebagian besar anak yang datanya bocor tersebut berlokasi di Eropa, seperti Belanda, Polandia, Turki, Jerman, Spanyol, dan Belgia. Juga, termasuk pengguna di China, Hong Kong, dan Meksiko.
Foto: AV-TEST
Data yang diekspos melalui API Web ini termasuk lokasi geografis anak saat secara real rime, jenis perangkat, dan IMEI kartu SIM.
Kerentan lain yang ditemukan, dan ini yang paling mengkhawatirkan, adalah aplikasi seluler yang diinstal pada ponsel orangtua juga sangat tidak aman.
Menurut peneliti, kerentanan pada aplikasi seluler itu memungkinkan penjahat:
AV-TEST telah memberitahu kelemahan itu kepada produsen jam pintar tersebut. Sayangnya, Morgenstern tak menjelaskan bagaimana tanggapan perusahaan.
Yang jelas, kata dia, saat ini jam pintar itu masih terjual di pasaran situs web perusahaan dan distributor lain. Distributor Jerman, Pearl, begitu mendapatkan informasi tersebut langsung menarik barang-barang dari toko mereka.
AV-TEST juga sudah melaporkan kerentanan itu kepada Federal Office for Information Security (BSI), badan keamanan siber Jerman. Pada 2017, BSI sempat melarang penjualan jam pintar anak-anak di Jerman jika perangkat tersebut dilengkapi dengan fitur mendengarkan jarak jauh.
Pada Februari lalu, Uni Eropa juga menarik kembali dua model jam tangan pintar karena kelemahan keamanan, yaitu memungkinkan penyerang untuk menghubungi dan melacak lokasi anak-anak.
Redaktur: Andi Nugroho
Share:
