Bayangkan speaker PC yang Anda andalkan untuk mendengarkan musik tiba-tiba menjadi pintu masuk serangan hacker. Ini bukan cerita fiksi, melainkan kenyataan yang baru-baru ini terungkap pada Creative Sound Blaster Katana V2X, sebuah soundbar PC populer yang dibanderol sekitar Rp450 ribuan. Keamanan perangkat ini ternyata memiliki celah serius yang memungkinkan peretas mengendalikan PC Anda dari jarak hingga 15 meter tanpa perlu menyentuh atau memasangkan perangkat.
- Speaker Creative Sound Blaster Katana V2X bisa diretas lewat Bluetooth tanpa otentikasi.
- Firmware speaker dapat diubah tanpa verifikasi kriptografi, membuka peluang serangan.
- Bluetooth speaker tetap aktif meski dalam mode tidur, memperbesar risiko keamanan.
- Creative menyatakan ini bukan kerentanan dan tidak akan merilis patch perbaikan.
Bluetooth Tanpa Pengaman Jadi Pintu Masuk Serangan
Speaker ini menggunakan Bluetooth Low Energy (BLE) yang sayangnya membocorkan protokol perintahnya tanpa perlindungan otentikasi. Artinya, perangkat lain di sekitar dapat mengirim perintah ke speaker meski belum pernah dipasangkan. Perintah yang biasanya butuh koneksi USB dengan handshake kini bisa dijalankan begitu saja lewat BLE.
Firmware Mudah Dimanipulasi Tanpa Verifikasi
Lebih parah, speaker menerima pembaruan firmware tanpa proses tanda tangan kriptografi yang ketat. Hanya ada pemeriksaan checksum SHA-256 yang mudah dipalsukan. Kombinasi ini memungkinkan peretas mengunggah firmware modifikasi secara diam-diam melalui Bluetooth tanpa harus menyentuh perangkat.
Speaker Jadi Keyboard Palsu di PC Anda
Firmware berbahaya tersebut kemudian memanfaatkan fakta bahwa Katana V2X terdeteksi sebagai perangkat USB terpercaya oleh komputer. Firmware modifikasi dapat menambahkan fungsi keyboard palsu dan menyuntikkan ketikan sembarangan setelah speaker di-reboot. Dalam demonstrasi, perintah “echo pwned” dimasukkan ke terminal, tapi skenario nyata tentu bisa lebih merugikan.
Risiko Terus Terbuka Karena Bluetooth Tidak Bisa Dimatikan
Bluetooth pada speaker ini tidak memiliki tombol off dan tetap aktif meski komputer dalam mode tidur. Hal ini membuat permukaan serangan selalu terbuka, tanpa kesempatan untuk menutup akses secara fisik. Kreatifitas peretas pun semakin leluasa.
Respon Produsen dan Solusi Sementara
Setelah peneliti keamanan Rasmus Moorats melaporkan masalah ini melalui SingCERT, Creative menanggapi dengan menyatakan bahwa ini bukan kerentanan dan tidak berencana merilis patch. Sebagai solusi sementara, tersedia alat pihak ketiga bernama v2x-patcher yang dapat memblokir komunikasi berbahaya pada level firmware, meski kemungkinan besar akan membuat aplikasi mobile Creative tidak berfungsi.
Firmware resmi terbaru hingga saat ini masih rentan, jadi pengguna Katana V2X harus waspada dengan potensi risiko keamanan ini, terutama jika speaker digunakan di lingkungan yang rawan penyadapan atau serangan siber.
Via: Notebookcheck
