Ancaman Hacker Melalui Celah Bug pada Speaker Google Home: Menguping Percakapan Pengguna
Cellular Blog - Bug pada speaker pintar Google Home dapat memungkinkan hacker untuk mengontrol perangkat dari jarak jauh dan mengubahnya menjadi alat pengintai dengan mengakses mikrofon.
Peneliti bernama Matt Kunze menemukan masalah tersebut dan menerima imbalan sebesar US$ 107.500 atau sekitar Rp 1,6 miliar dari Google atas laporannya pada tahun lalu.
Di samping itu, Google dilarang membagikan data lokasi seseorang kepada pengiklan pihak ketiga tanpa persetujuan eksplisit dari pengguna. Perusahaan juga harus menghapus data lokasi yang berasal dari perangkat atau alamat IP dalam aktivitas web dan aplikasi dalam waktu 30 hari setelah memperoleh informasi tersebut.
"Mengingat tingkat pelacakan dan pengawasan luas yang dapat disematkan oleh perusahaan teknologi ke dalam produk mereka yang digunakan secara luas, wajar jika konsumen diberi tahu tentang betapa pentingnya data pengguna, termasuk informasi tentang setiap gerakan mereka, dikumpulkan, dilacak, dan digunakan oleh perusahaan," kata Racine dalam sebuah pernyataan. "Secara signifikan, resolusi ini juga memberi pengguna kemampuan dan pilihan untuk memilih untuk dilacak, serta membatasi cara informasi pengguna dapat dibagikan dengan pihak ketiga," pungkasnya.
Pada awal pekan ini, seorang peneliti menerbitkan rincian teknis tentang temuannya dan skenario serangan untuk menunjukkan bagaimana bug tersebut dapat dimanfaatkan. Berdasarkan laporan Bleeping Computer, peneliti tersebut menemukan bahwa akun baru yang ditambahkan ke perangkat Google Home menggunakan aplikasi Google Home dapat mengirim perintah dari jarak jauh melalui cloud API.
Dengan menggunakan alat pemindaian Nmap, peneliti tersebut menemukan port untuk API HTTP lokal Google Home, di mana dia menyiapkan proxy untuk menangkap lalu lintas HTTPS yang terenkripsi dan berusaha merebut token otorisasi pengguna. Setelah mengumpulkan informasi tentang nama perangkat, sertifikat, dan "cloud ID" dari API lokal Google Home, peneliti tersebut menemukan bahwa dengan mengirim permintaan tautan ke server Google, ia dapat menambahkan 'pengguna jahat' ke perangkat target.
Untuk mengimplementasikan proses penautan ini secara otomatis, peneliti tersebut menulis sebuah skrip Python yang akan mengekstrak data perangkat lokal dan mereproduksi permintaan penautan. Peneliti tersebut juga menerbitkan simulasi peretasan di blog-nya, namun serangan tersebut seharusnya tidak berfungsi pada perangkat Google Home yang menjalankan versi firmware terbaru.
Langkah-langkah yang diambil oleh Google
Kunze menemukan masalah tersebut pada Januari 2021 dan mengirimkan detail tambahan pada Maret 2021. Google kemudian memperbaiki semua masalah tersebut pada April 2021. Tindakan perbaikan yang dilakukan oleh Google termasuk sistem berbasis undangan baru untuk menangani tautan akun, yang memblokir upaya apa pun yang tidak ditambahkan ke perangkat Google Home.
Walaupun masih dimungkinkan untuk melakukan serangan deauthenticating (menargetkan komunikasi antara pengguna dan titik akses nirkabel Wi-Fi) pada Google Home, namun tidak lagi dapat digunakan untuk menautkan akun baru, sehingga API lokal yang dapat membocorkan data perangkat dasar juga tidak lagi dapat diakses.
Untuk perintah "panggil [nomor telepon]", Google telah menambahkan perlindungan untuk mencegah inisiasi jarak jauh melalui rutinitas. Perlu dicatat bahwa Google Home dirilis pada tahun 2016, rutinitas terjadwal ditambahkan pada tahun 2018, dan Local Home SDK diperkenalkan pada tahun 2020, sehingga penyerang yang menemukan masalah sebelum April 2021 akan memiliki banyak waktu untuk memanfaatkannya.
Google Voice akan memberi tanda pada panggilan spam dan penipuan
Di sisi lain, Google Voice akan memberi tanda pada panggilan yang dicurigai sebagai spam dan akan dengan jelas memberi label khusus, lengkap dengan tanda seru merah besar. Panggilan spam dan teks memang merupakan masalah besar selama bertahun-tahun. Menurut Federal Communications Commission (FCC), konsumen di AS menerima sekitar 4 miliar robocall per bulan dan mereka mengalami kerugian hampir US$ 30 miliar yang disebabkan oleh panggilan penipuan pada tahun 2021.
Google mengatakan bahwa fitur tersebut dirancang untuk membantu melindungi pengguna dari panggilan yang tidak diinginkan dan penipuan yang berpotensi berbahaya. Label baru yang menandai "penelepon spam yang dicurigai" akan muncul tidak hanya di layar panggilan masuk, tetapi juga di riwayat panggilan untuk referensi di masa mendatang.
Jika pengguna mengonfirmasi bahwa panggilan tersebut adalah spam, panggilan berikutnya dari nomor tersebut akan langsung menuju ke pesan suara, dan semua entri riwayat panggilannya akan dikirim ke folder spam. Namun, jika pengguna mengonfirmasi bahwa nomor tersebut sah dan bukan penelepon spam, peringatan tersebut tidak akan ditampilkan lagi.
Google menggunakan kecerdasan buatan (AI) yang bertugas mengidentifikasi panggilan spam di seluruh ekosistemnya untuk menentukan penelepon spam untuk fitur ini. AI tersebut diklaim telah berhasil menyaring miliaran panggilan spam setiap bulan, yang diduga merugikan banyak pengguna.
Perlu diperhatikan bahwa label baru hanya akan muncul jika filter spam di bawah pengaturan Keamanan dimatikan. Jika diaktifkan, semua panggilan yang dicurigai Google sebagai spam akan dikirim ke pesan suara.
Google Menggelontorkan Rp 148 Miliar Sebagai Ganti Rugi Akibat Pelanggaran Privasi di Amerika Serikat
Google Setuju Merembeskan US$ 9,5 Juta atau Sejumlah Rp 148 Miliar Demi Menyelesaikan Tuntutan yang Ditujukan oleh Jaksa Agung Washington DC, Amerika Serikat (AS) Karl Racine, yang Menyatakan bahwa Perusahaan tersebut 'Menipu Pengguna dan Melanggar Privasi Mereka'.
Selain itu, Google juga Setuju untuk Mengubah Beberapa Praktiknya, Khususnya dalam Hal Cara Memberitahukan kepada Pengguna tentang Penggalian, Penyimpanan, dan Penggunaan Data Lokasi.
"Google Menggiring Konsumen untuk Percaya bahwa Mereka Dapat Menggenggam Perusahaan dalam Menggali dan Menyimpan Informasi tentang Lokasi serta Bagaimana Informasi tersebut Digunakan," demikian Bunyi Tuntutan yang Diajukan oleh Racine pada Januari 2022.
"Padahal, Konsumen yang Menggunakan Produk Google Tidak Dapat Menghalangi Google dari Menggali, Menyimpan, dan Meraup Keuntungan dari Lokasi Mereka," Sajikan Tuntutan tersebut sebagaimana Dilaporkan oleh Engadget, Sabtu (31/12/2022).
Racine dan Timnya juga Menuduh bahwa Perusahaan tersebut Menggunakan 'Polusi Gelap', yang Dimaksudkan untuk Menipu Pengguna Google agar Melakukan Tindakan yang Tidak Menyejahterakan Mereka.
Google juga Dituduh Berulang Kali Meminta Pengguna untuk Menghidupkan Penjejak Lokasi di Aplikasi tertentu serta Memberitahukan Mereka bahwa Fitur tertentu Tidak Akan Beroperasi dengan Baik jika Penjejak Lokasi Tidak Diaktifkan.
Racine dan Timnya Menemukan bahwa Data Lokasi Bahkan Tidak Dibutuhkan untuk Aplikasi tersebut. Mereka Menegaskan bahwa Google Seolah Membuatnya 'Tidak Mungkin bagi Pengguna untuk Memilih Keluar dari Penjejak Lokasi Mereka'.
Perubahan yang Wajib Dilaksanakan oleh Google
Pembayaran yang Nilainya Mencapai Rp 148 Miliar Adalah Sepele bagi Google. Perusahaan Induknya, Alphabet, Dapat Menghasilkan Pendapatan Setara dengan Jumlah tersebut, dalam Waktu Kurang dari 20 Menit.
Untuk Diketahui, Perubahan yang Akan Dilakukan oleh Perusahaan pada Praktiknya Sebagai Bagian dari Penyelesaian Tuntutan mungkin Memiliki Dampak yang Lebih Besar.
Pengguna yang Saat ini Mengaktifkan Setelan Lokasi tertentu Akan Menerima Pemberitahuan tentang Cara Menonaktifkan Setiap Setelan, Menghapus Data yang Bersangkutan, serta Membatasi Berapa Lama Google Dapat Menyimpan Informasi tersebut.
Pengguna yang Menyiapkan Akun Google Baru juga Akan Diberi Tahu Pengaturan Akun terkait Lokasi mana yang Diaktifkan secara default serta Ditawarkan Kesempatan untuk Tak Mengikuti Opsi tersebut.
Google juga Wajib Menjaga Halaman web yang Merinci Praktik dan Kebijakan Data Lokasinya, Mencakup Cara bagi Pengguna untuk Mengakses Setelan Lokasi Mereka serta Detail tentang Bagaimana Setiap Setelan Memengaruhi Penggalian, Penyimpanan, atau Penggunaan Data Lokasi oleh Google.
"google home, speaker, bug, celah keamanan, hacker, percakapan"
Postingan
Site gratuito de streaming de anime animefire, no qual você pode assistir online anime legendado e dublado em inglês sem conta e atualização diária. ASSISTA AGORA!
BalasHapus