Miliaran Perangkat IoT di Seluruh Dunia Terancam Celah Chip Bluetooth

KOMPAS.com - Sebuah chip Bluetooth yang banyak dipakai di perangkat Internet of Things (IoT) di seluruh dunia, ternyata memiliki celah berbahaya yang bisa dimanfaatkan oleh para penjahat siber untuk mencuri data penting. 

Celah tersebut selama ini tidak diketahui karena bisa dibilang sebagai fitur tersembunyi dan tidak dijabarkan oleh produsen.

Celah ini awalnya ditemukan oleh peneliti keamanan siber di perusahaan keamanan siber, Tarlogic. Mereka mengeklaim celah itu ditemukan di chip ESPC32 yang mengakomodasi konektivitas melalui WiFi atau Bluetooth ke sebuah perangkat IoT.

Chip ini diproduksi oleh Espressif, perusahaan semikonduktor yang berkantor pusat di Shanghai, China. Harga chip ini dibanderol 2 dollar Amerika Serikat (sekitar Rp 32.754) per unit dan diklaim sudah terjual satu miliar unit sejak tahun 2023.

Karena harganya murah, chip ini banyak dipakai di perangkat IoT khususnya untuk perangkat rumahan.

Menurut para peneliti, celah di chip ini memungkinkan pihak yang mengetahui celahnya, menjalankan perintah, membuka fungsi tambahan hingga mengekstrak informasi sensitif dari perangkat yang ditanam chip tersebut.

Awalnya, peneliti menggambarkan temuan ini sebagai "backdoor" alias akses ke sistem tanpa izin yang sah. Namun ternyata, celah ini lebih tepat disebut sebagai fitur tersembunyi karena adanya perintah (command) di Host-Controller Interface (HCI), yang memungkinkan adanya operasi tertentu.

HCI adalah standar antarmuka Bluetooh untuk mengirimkan perintah, menerima serta mengirim data. Dan chip ESPC32 memiliki perintah HCI yang membuka peluang tindakan tertentu.

"Kami ingin mengklarifikasi bahwa lebih tepat untuk merujuk pada adanya HCI milik perusahaan, yang memungkinkan praktik seperti membaca dan memodifikasi memori di controller chip ESPC32, sebagai fitur tersembunyi, ketimbang backdoor," kata peneliti Tarlogic.

Menurut para peneliti, penjahat siber bisa memanfaatkan command di HCI tadi untuk menjalankan serangan siber. Misalnya memanipulasi pengguna menggunakan perangkat yang dikenal untuk terhubung ke ponsel, komputer atau perangkat pintar lainnya, bahkan dalam mode offline. 

Dengan begitu, penjahat siber bisa mengetahui data penting atau sensitif yang tersimpan di perangkat. Mereka juga bisa saja memiliki akses ke obrolan pribadi maupun bisnis untuk memonitor seseorang maupun perusahaan.

Terlepas dari penemuan Tarlogic ini, sayangnya pihak Espressif belum memberikan tanggapan resmi, dihimpun KompasTekno dari TechRadar, Minggu (16/3/2025). Jadi, belum diketahui apakah perusahaan asal China ini menutup fitur tersembunyi itu atau memberikan perlindungan tambahan agar tidak disalahgunakan.