Merdeka.com - Miliaran smartphone, tablet, laptop, dan perangkat IoT yang menggunakan software Bluetooth ternyata terpapar risiko keamanan siber karena perangkat Bluetooth yang rentan.

Kerentanan bernama BLESA (Bluetooth Low Energy Spoofing Attack) ini mempengaruhi perangkat yang menjalankan protokol Bluetooth Low Energy. BLE merupakan versi ramping dari Bluetooth. Teknologi ini dirancang untuk menghemat daya baterai sembari menjaga koneksi Bluetooth tetap hidup selama mungkin.

Karena fitur ini hemat baterai, BLE telah diadopsi secara besar-besaran. Bahkan, BLE menjadi teknologi yang hampir selalu ada di perangkat bertenaga baterai.

Dengan adopsi BLE yang luas ini, peneliti keamanan dan akademisi berulang kali menyelidiki BLE untuk menemukan kelemahan keamanan selama bertahun-tahun terakhir.

Terbaru, dalam sebuah proyek riset di Purdue University, tujuh orang akademisi menginvestigasi protokol BLE yang memainkan peran penting pada operasi BLE. Fokus para akademisi adalah di proses reconnection. Operasi ini terjadi ketika dua perangkat BLE (klien dan server) mengautentikasi satu sama lain selama proses pemasangan.

Rentannya Reconnection

Reconnection merupakan proses saat perangkat Bluetooth berada di luar jangkauan dan kemudian kembali lagi ke dalam jangkauan.

Saat proses reconnection, kedua perangkat BLE harus memeriksa kunci kriptografi satu sama lain, menyambungkan kembali, melanjutkan pertukaran data.

Seperti dikutip ZDNet via Tekno Liputan6.com, temuan tim peneliti menyebut, spesifikasi resmi BLE tidak mengandung protokol bahasa yang cukup kuat dalam proses reconnection.

Idealnya, ketika perangkat terhubung kembali, keduanya saling memeriksa ulang kunci kriptografi satu sama lain. Namun karena protokol bahasa, autentikasi ulang ini tidak wajib dan sifatnya hanya opsional.

Artinya, secara teori, penyerang mungkin dapat memalsukan koneksi dari perangkat yang terhubung sebelumnya. Dengan demikian, sangat memungkinkan penyerang mengelabui pengguna agar ke terhubung ke perangkat berbeda dan melakukan serangan berbahaya.

Android Waspada

Para peneliti menemukan bahwa BlueZ (IoT berbasis Linux), Flouride (Android), dan iOS BLE cukup rentan terhadap serangan berbasis BLESA. Sementara, BLE pada Windows cukup aman.

"Pada Juni 2020, Apple telah menerapkan patch CVE-2020-9770 untuk kerentanan dan memperbaikinya. Implementasi Android BLE di perangkat yang diuji (Pixel XL) masih rentan," kata peneliti dalam makalah yang diterbitkan bulan lalu.

Sementara untuk perangkat IoT berbasis Linuz akan menghentikan bagian dari kode yang memungkinkan serangan BLESA dan memakai prosedur reconnection yang tepat.

Sumber: Liputan6.comReporter: Agustin Setyo Wardani