Bisnis.com, JAKARTA - Mainan pintar (smart toys) dapat dimanfaatkan penjahat siber untuk berkomunikasi secara diam-diam dengan anak-anak. Peretas mampu mengumpulkan data detail sensitif, panggilan video, hingga mengambil alih mainan.
Berdasarkan riset yang dilakukan Kaspersky, hal ini dapat terjadi pada robot berbasis Android yang dilengkapi dengan kamera video dan mikrofon internal.
Diketahui, sebenarnya teknologi ini memanfaatkan kecerdasan buatan untuk dapat mengenali dan berinteraksi dengan anak-anak.
Adapun untuk menghidupkan perangkat ini, butuh konektivitas ke WiFi serta perangkat seluler orang tua, sehingga mereka juga mampu memantau perkembangan aktivitas belajar anak dan melakukan panggilan video melalui robot tersebut.
Namun, pada fase inilah ditemukan masalah keamanan di sisi API (Application Programming Interface).
Menurut Kaspersky, API di mainan ini tidak memiliki otentikasi lebih lanjut, sebuah langkah yang mengonfirmasi siapa saja yang mengakses jaringan tersebut. Hal ini pun membuat penjahat menjadi mudah untuk membobol data, bahkan meretas sistem robot tanpa sepengetahuan orang tua.
Nantinya bukan hanya data pribadi sensitif, seperti nama, jenis kelamin, usia, jam tidur anak, dan alamat tempat tinggal yang diketahui oleh peretas. Peretas juga mampu melakukan penyadapan kamera dan mikrofon hingga panggilan langsung ke anak.
Masalahnya, karena tidak ada sistem keamanan yang canggih, tulisan dari panggilan dari peretas bisa sama dengan panggilan yang benar-benar berasal dari orang tuanya.
Kaspersky mengatakan, jika seorang anak menerima panggilan ini, penjahat dapat memanipulasi anak dan memancing mereka keluar dari rumah atau mempengaruhi anak untuk melakukan perilaku yang berisiko.
Selain itu, masalah keamanan API ini juga memungkinkan peretas untuk mengambil kendali robot dari jarak jauh dan mendapatkan akses tidak sah ke jaringan. Alhasil, peretas juga mampu membuat orang tua tidak memiliki kontrol lagi ke robot pintar yang digunakan anaknya.
“Dengan menggunakan metode brute force untuk memulihkan enam digit kata sandi satu kali (OTP), dan tanpa batasan pada upaya yang gagal, penyerang dapat menghubungkan robot ke akunnya dari jarak jauh, sehingga secara efektif membuat perangkat lepas dari kendali pemilik,” tulis rilis Kaspersky.