Robot vacuum Shark yang terhubung ke smartphone dengan latar belakang rumah modern

Celah Keamanan Shark Robot Vacuum Ekspos Data Ribuan Pengguna

Penulis:Nur Hamzah
Terbit:
Diperbarui:
⏱️3 menit membaca
Bagikan:
  • Kerentanan kritis pada kebijakan AWS IoT SharkNinja memungkinkan peretas mengambil alih robot vacuum Shark
  • Peneliti tokay0 menemukan celah yang mengekspos kamera langsung, peta rumah, dan kredensial Wi-Fi dalam teks biasa
  • 673.816 unit dari 1.517.605 nomor seri unik merespons probe perintah dalam pemantauan 24 jam
  • SharkNinja dianggap lalai karena tidak memperbaiki celah sejak Maret hingga Juli 2026
  • Perbaikan tidak memerlukan firmware update, cukup perubahan kebijakan di sisi cloud AWS
  • Insiden ini mirip dengan kerentanan DJI Romo yang berhasil ditambal dalam hitungan minggu

Telset.id – Kerentanan kritis pada kebijakan AWS IoT SharkNinja memungkinkan peretas mengambil alih robot vacuum Shark dan mengekspos data sensitif ribuan pengguna, termasuk kamera langsung, peta rumah, dan kredensial Wi-Fi yang disimpan dalam teks biasa.

Seorang peneliti keamanan yang dikenal dengan nama tokay0 mempublikasikan teknik eksploitasi pada hari Senin. Metode ini memungkinkan pengangkatan sertifikat klien dari satu unit robot vacuum Shark dan menggunakannya untuk menjalankan perintah root pada unit Shark lain yang berada di wilayah Amazon Web Services (AWS) yang sama.

Peneliti tersebut mengaku telah melaporkan kerentanan ini ke SharkNinja pada 1 Maret. Hingga berita ini ditulis, celah keamanan tersebut masih belum diperbaiki. Perbaikan yang diperlukan sepenuhnya berada di sisi cloud SharkNinja, bukan pada perangkat robotnya.

“Masalahnya adalah kebijakan AWS IoT yang terlalu permisif,” tulis tokay0 dalam laporannya. Sertifikat yang digunakan robot vacuum Shark untuk mengautentikasi ke broker cloud Amazon tidak pernah dibatasi hanya untuk perangkat yang membawanya. Akibatnya, sertifikat yang diambil dari satu unit dapat digunakan untuk berlangganan lalu lintas di seluruh armada dan mengirimkan perintah ke perangkat mana pun yang dilayani oleh broker tersebut.

Perintah-perintah tersebut dikirimkan melalui field bernama Exec_Command dalam dokumen status perangkat yang disimpan AWS di cloud. Daemon manajemen pada robot vacuum akan meneruskan perintah di bawah 1.000 byte dari field tersebut ke shell sistem.

a smart vacuum being set up with a smart phone

Tokay0 menguji teknik ini hanya pada unit yang ia beli sendiri, termasuk uji coba reverse shell antar-model pada Shark IQ Robot Vacuum XL (AV1102ARUS). Dari sana, ia berhasil mengambil umpan langsung dari kamera onboard robot tersebut.

Dalam pemantauan selama 24 jam pada satu wilayah AWS, tokay0 menghitung 1.517.605 nomor seri unik Shark. Dari jumlah tersebut, 673.816 unit atau sekitar 44% merespons probe perintah. Angka ini menunjukkan perangkat yang terlihat merespons, bukan perangkat yang diuji atau dikompromikan.

Penting untuk dicatat bahwa sertifikat terikat pada wilayah AWS masing-masing. Dengan kata lain, kunci yang diambil di satu wilayah hanya dapat menjangkau perangkat di wilayah yang sama. Namun, dampaknya tetap signifikan mengingat besarnya jumlah perangkat yang terpapar.

Tokay0 mengungkapkan kronologi pelaporan yang mengecewakan. SharkNinja mengakui laporannya pada 12 Maret, kemudian memberitahu bahwa laporan tersebut sedang ditinjau pada 27 April. Pada 3 Juli, perusahaan menjanjikan tanggal penyelesaian pada 10 Juli, namun janji tersebut tidak pernah terpenuhi.

Peneliti juga menyebut bahwa SharkNinja meremehkan tingkat keparahan kerentanan ini dan mempertanyakan apakah CVE (Common Vulnerabilities and Exposures) diperlukan. Padahal, kebijakan pengungkapan publik perusahaan berkomitmen untuk “memberikan pembaruan rutin sampai kerentanan yang dilaporkan terselesaikan.” Hingga 16 Juli, perusahaan belum mempublikasikan informasi apapun tentang celah ini.

Perbaikan dalam skenario ini tidak memerlukan pembaruan firmware. Menurut Amazon, kebijakan IoT yang tidak sesuai dapat diperbaiki dengan mendorong versi yang lebih terbatas di dalam akun AWS operator sampai SharkNinja mengubah cakupan kebijakan atau menerbitkan ulang sertifikat.

Insiden ini mengingatkan pada kerentanan serupa yang ditemukan pada robot vacuum DJI Romo pada Februari lalu. Saat itu, celah otorisasi mengekspos sekitar 6.700 unit, memberikan akses ke umpan kamera, audio, dan denah lantai. DJI berhasil menambal kerentanan tersebut dalam hitungan minggu, dan peneliti yang menemukannya kemudian menerima bounty sebesar $30.000.

Kegagalan di sisi cloud, di mana backend gagal membatasi akses perangkat, telah mendorong sejumlah pelanggaran pada robot vacuum. Situasi ini juga memicu minat pada desain offline penuh yang menjaga data pemetaan dan kamera tetap berada di luar cloud vendor mana pun.

generic hack screen

Bagi pengguna robot vacuum Shark, kerentanan ini memiliki implikasi serius. Data pribadi seperti peta rumah, rekaman kamera, dan kredensial Wi-Fi yang disimpan dalam teks biasa dapat diakses oleh pihak tidak bertanggung jawab. Para ahli keamanan merekomendasikan pengguna untuk memonitor pembaruan dari SharkNinja dan mempertimbangkan langkah-langkah mitigasi sementara.

Perkembangan ini juga menyoroti pentingnya keamanan pada perangkat IoT. Dengan semakin banyaknya perangkat pintar di rumah, kerentanan seperti ini menjadi ancaman yang semakin nyata. Produsen perangkat IoT perlu memastikan bahwa kebijakan keamanan cloud mereka dirancang dengan baik dan diperbarui secara berkala.

Regulasi robotaxi yang lebih ketat mungkin diperlukan untuk perangkat IoT secara umum. Sementara itu, pengembangan teknologi robot humanoid terus berlanjut, namun keamanan siber tetap menjadi tantangan utama.

Ikuti Telset.id di Google NewsFollow

Komentar

Belum ada komentar.