Peneliti dari Rapid7 menemukan sebuah fakta bahwa perangkat baby monitor yang digunakan orang tua untuk mengawasi anak-anaknya ternyata memiliki vulnerability yang sangat parah. Perangkat tersebut kurang populer dan tidak begitu dikenal di Indonesia. Tetapi, perangkat baby monitor cukup terkenal di negara-negara Barat. Pada dasarnya, baby monitor adalah sebuah kamera video yang digunakan untuk merekam aktivitas bayi mereka ketika orang tua sedang bekerja. Video tersebut dapat diakses secara jarak jauh menggunakan Internet dan perangkat smartphone.
Sayangnya, baby monitor memiliki vulnerability yang sangat parah. Setidaknya itulah yang dipaparkan oleh peneliti dari Rapid7. Mereka melakukan penelitian pada beberapa perangkat baby monitor. Seperti contohnya adalah Gyonii GCW-1010, iBaby M3S, iBaby M6, Lens LL-BC01W, Philips B120/37, Summer Infant Baby Zoom 28630, TRENDnet TV-IP743SIC, WiFiBaby WFB2015 dan Withing WBP01. Rapid7 menemukan bahwa tiga di antara perangkat baby monitor yang mereka teliti memiliki vulnerability yang sangat parah.
Keluhan terhadap vulnerability perangkat baby monitor ini sudah terdengar sejak lama. Namun baru kali ini ada insititusi penelitian yang “berani” untuk mempublikasikannya. Peneliti dari Rapid7 mengemukakan bahwa fitur video kamera untuk melakukan streaming secara real time ternyata tidak terlindungi dan terenkripsi dengan baik. Ketika fitur tersebut tidak terlindungi dan terenkripsi dengan baik, maka penyerang dapat memanipulasinya kapan saja dan bahkan mengakses serta merubah setting dari perangkat baby monitor tersebut.
Salah satu perangkat yang mereka teliti yaitu Philips In.Sight B120 memiliki fungsi untuk mengakses back-end web server sebagai media melihat video secara real-time. Rapid7 menemukan bahwa perangkat itu tidak memiliki otentifikasi ataupun enkripsi sama sekali. Hal ini dikhawatirkan dapat menjadi celah bagi penyerang untuk memanipulasi perangkat secara jarak jauh.
Adapun perangkat iBaby M6 yang menggunakan media cloud computing dapat diakses dengan hanya perlu mengetahui angka serial dari perangkat tersebut. “Dengan hanya menggunakan teknik script sederhana, penyerang dapat membuka akses semua video yang disimpan,” kata peneliti Rapid7. Sedangkan perangkat Summer Infant Baby Zoom dapat diakses dengan mudah karena tidak membutuhkan password ataupun otentifikasi sama sekali.
Rapid7 mengatakan bahwa mereka telah menghubungi US-CERT sejak bulan Juli lalu. Vulnerability tersebut perlu menjadi pelajaran bagi pemerintah Indonesia untuk terlebih dahulu memindai sistem keamanan setiap perangkat elektronik baru yang masuk ke negara ini.
Sumber: ciso.co.id