Sejumlah pengguna kereta api di sebuah stasiun di Jepang sedang menunggu kedatangan kereta sambil bermain ponselnya. Foto: tokyotimes.org
Sejumlah pengguna kereta api di sebuah stasiun di Jepang sedang menunggu kedatangan kereta sambil bermain ponselnya. Foto: tokyotimes.org
Cambridge, Cyberthreat.id – Masih ingat Pegasus?
Pegasus adalah spyware buatan NSO Group asal Israel yang bulan lalu ramai diperbincangkan lantaran bisa dipakai untuk meretas WhatsApp hanya dalam sekali panggilan telepon.
Berita Terkait:
Kali ini, ada yang sama ngerinya dengan Pegasus. Peretas (hacker) bisa saja ke depan mulai mengembangkan alat khusus untuk menganalisis suara yang dihasilkan ketika seseorang mengetik di smartphone.
Celah keamanan yang mengejutkan itu, seperti dilaporkan pertama kali oleh Wall Street Journal, diungkapkan baru-baru ini oleh para peneliti Universitas Cambridge dan Universitas Linkoping Swedia. Dari hasil risetnya, peneliti dapat mengekstraksi kata sandi dengan menguraikan gelombang suara yang dihasilkan oleh ketukan jari ketika mengetuk layar sentuh smartphone.
“Saat pengguna memasukkan teks pada layar sentuh perangkat, ketukan menghasilkan gelombang suara. Mikrofon perangkat dapat menghubungkannya dengan keystroke (tombol yang diketuk pengguna pada papan ketik),” kata peneliti seperti dikutip dari E Hacking News, yang diakses Kamis (13/6/2019).
Serangan pasif dan berbasis suara dapat dilakukan jika seseorang telah menginstal lebih dulu aplikasi mata-mata (spyware) di perangkat korban. Namun, kini pejahat siber juga sudah mahir menanamkan spyware ke perangkat korban dari jarak jauh. “Banyak aplikasi mata-mata yang meminta izin (akses ke mikrofon) dan kebanyakan dari kita secara buta menerima izin yang diminta (saat penginstalan),” ujar peneliti.
Berita Terkait:
Dengan bantuan aplikasi itu, penjahat siber dapat memecahkan kode apa yang diketik seseorang. “Serangan itu berhasil mendapatkan kembali kode PIN, huruf individual, dan seluruh kata,” tutur peneliti yang memberi contoh spyware yang biasanya ditawarkan perusahaan untuk dipasang di perangkat, seperti mSpy; aplikasi ini bisa memiliki akses ke fitur mikrofon.
Dalam risetnya, peneliti juga memprogram algoritma pembelajaran mesin yang dapat mendeteksi dan menganalisis gelombang suara untuk penekanan tombol tertentu.
Pada ponsel, peneliti mampu mereplikasi kata sandi dengan benar sebanyak tujuh kali dari 27 kata sandi dalam 10 percobaan. Di tablet, mereka mencapai hasil yang lebih baik, mereplikasi kata sandi 19 kali dari 27 kata sandi dalam percobaan yang sama.
Dalam percobaan dengan ponsel Android, peneliti memakai LG Nexus 5 dan tablet Nexus 9. Uji coba dilakukan di berbeda tempat untuk melihat tingkat kebisingan latar seperti ruang publik, ruang baca dengan komputer, dan perpustakaan.
“Kami menemukan mikrofon perangkat dapat mendapatkan kembali gelombang ini dan mendengar sentuhan jari. Oleh karena itu, dengan merekam audio melalui mikrofon yang terpasang, aplikasi jahat dapat menyimpulkan teks ketika pengguna memasukkannya ke perangkat mereka,” ujar dia.
Seperti dikutip dari Washington Post, untuk mencegah serangan itu, peneliti menyarankan agar pembuat ponsel mempertimbangkan untuk memasang sakelar yang memungkinkan pengguna mematikan mikrofon.
Pilihan lain, kata peneliti, produsen ponsel dapat membuat lebih jelas ketika mikrofon menyala, misal, indikator lampu atau ikon tertentu di layar sebagai tanda mikrofon aktif.
Penelitian tersebut telah tersedia secara daring di situs web Cornell University. Riset ini juga menarik untuk dikembangkan ke depan mengenai celah keamanan, misalnya, terhadap kemungkinan kerentanan pada kamera dan akselerometer (alat pengukur kecepatan).
Share:
