Kerentanan Keamanan Chip Bluetooth ESP32 Ancam Miliaran Perangkat IoT

Sebuah temuan mengejutkan mengungkap celah keamanan serius pada chip Bluetooth ESP32, komponen yang digunakan secara luas dalam perangkat Internet of Things (IoT) di seluruh dunia. Riset yang dilakukan oleh tim keamanan siber Tarlogic mengungkapkan keberadaan fitur tersembunyi dalam chip ESP32 produksi Espressif, perusahaan semikonduktor asal Shanghai, yang memungkinkan akses tak sah dan potensi penyalahgunaan data. Celah keamanan ini, yang awalnya disangka sebagai backdoor, kini diklasifikasikan sebagai fitur tersembunyi yang beroperasi melalui Host-Controller Interface (HCI), standar antarmuka Bluetooth untuk pengiriman perintah dan data.

Fitur tersembunyi ini memungkinkan pelaku kejahatan siber untuk menjalankan perintah-perintah tertentu pada chip ESP32. Hal ini membuka peluang besar untuk berbagai serangan siber, mulai dari pengambilan data sensitif hingga manipulasi perangkat. Para peneliti menjelaskan bahwa serangan ini bisa dilakukan bahkan dalam kondisi offline, meningkatkan risiko keamanan bagi pengguna. Bayangkan, data pribadi, percakapan bisnis sensitif, dan informasi penting lainnya terancam akses tak sah hanya karena kerentanan pada chip ini.

Lebih mengkhawatirkan lagi, chip ESP32 yang harganya relatif murah (2 dolar AS per unit) telah terjual lebih dari satu miliar unit sejak tahun 2023. Hal ini berarti potensi dampak dari celah keamanan ini sangat luas, memengaruhi jutaan perangkat IoT di rumah-rumah dan bisnis di seluruh dunia. Kerentanan ini memungkinkan penyerang untuk menjalankan perintah melalui HCI, termasuk membaca dan memodifikasi memori pada controller chip ESP32, sehingga memungkinkan pelaku kejahatan siber untuk memanipulasi perangkat dan mencuri data sensitif.

Contoh potensi serangan meliputi:

• Pencurian data sensitif: Peretas dapat mengakses dan mencuri informasi pribadi, data keuangan, atau informasi bisnis yang tersimpan pada perangkat IoT yang menggunakan chip ESP32.
• Manipulasi perangkat: Peretas dapat mengendalikan perangkat IoT, mengubah pengaturan, atau bahkan menyebabkan kerusakan pada perangkat.
• Pengintaian: Peretas dapat memonitor aktivitas pengguna, termasuk percakapan pribadi atau bisnis, melalui akses tak sah ke perangkat.
• Serangan Man-in-the-Middle (MitM): Peretas dapat menyadap komunikasi antara perangkat IoT dan perangkat lain, seperti smartphone atau komputer.

Sayangnya, hingga saat ini Espressif belum memberikan tanggapan resmi terkait temuan Tarlogic ini. Ketiadaan respon dari produsen chip tersebut menimbulkan kekhawatiran lebih lanjut mengenai langkah-langkah perbaikan dan perlindungan yang akan diambil untuk mengatasi kerentanan ini. Ketidakpastian ini menyisakan pertanyaan besar tentang bagaimana langkah selanjutnya untuk mengamankan miliaran perangkat IoT yang rentan terhadap serangan siber ini.

Kejadian ini menjadi pengingat penting akan pentingnya keamanan siber dan perlunya produsen perangkat elektronik untuk memprioritaskan pengujian keamanan menyeluruh sebelum meluncurkan produk ke pasaran. Perlindungan pengguna dari ancaman siber harus menjadi prioritas utama, dan transparansi dari pihak produsen dalam menangani kerentanan keamanan sangatlah penting untuk membangun kepercayaan dan memastikan keamanan data pengguna.