Saya ada beberapa gajet IoT daripada Xiaomi. Sekiranya anda juga ada, cuba buka APP Mi Home dan lihat katalog penuh peranti yang ditawarkan mereka. Penawaran IoT daripada Xiaomi amatlah luas daripada kamera, peralatan rumah ingalah kesihatan. Memanglah nampak geek dan memudahkan tapi tahukah anda risiko serangan siber jika menggunakan barang-barang IoT sebegini.
Dalam satu hasil penyelidikan yang dikongsikan di temasya DEF CON 26 tahun 2018, mereka menguji sejumlah produk IoT Xiaomi untuk menilai tahap keselamatannya. Mereka mendapati yang hampir semuanya, walaupun dikatakan memudahkan kehidupan, tidak menitikberatkan keselamatan siber.
Kenapa produk-produk ini terdedah?
Saya ambil contoh, Aqara Smart IP Camera Gateway. Ini adalah salah satu produk bawah ekosistem Xiaomi.
Daripada laman promosi, semua nampak suci saja. Tapi disebalik badan putih itu, tahukah anda yang penggodam dengan mudahnya boleh buka pintu hack melalui telnet yang password-nya dengan mudah diteka?
Lebih parah, kata laluan untuk fungsi telnet kamera ini adalah sama untuk semua kamera dariapd amodel yang sama iaitu “lumi-201”. Dengan akses ini, orang panda0-pandai boleh lakukan beberapa perkara tapi yang paling menggerunkan menukar firmware kamera yang mengandungi segala macam perisian hasad tanpa anda ketahui.
Tapi yang paling menarik adalah robot pembersih Xiaomi generasi 1 dan 2. Produk ini mengelog beberapa data seperti statistik penggunaan, Wi-Fi credentials, malah peta rumah pengguna untuk dihantar ke awan. Sudah tentulah data ini ada akses oleh kerajaan China.
Bukan itu saja, sekiranya anda melakukan factory reset, data-data ini tidak langsung dipadamkan malah tetap ada. Ia sepatutnya menggusarkan anda yang ingin menjual robot ini dalam keadaan terpakai.
Jadi apa yang boleh anda lakukan?
Yang pertama adalah anda perlu arif tentang semua benda yang berhubung dengan Internet di sekitar anda. Sentiasa pantau segala kelengkapan rumah dan pastikan kata laluan agar orang luar tak boleh mengeksploitasi kealpaan anda.
Kemudian, jangan pasang apa-apa firmware daripada sumber tak sah. Hal ini kerana, boleh jadi ada kod-kod hasad yang tertanam. Hal ini biasanya berlaku jika kita beli produk terus daripada China dan kononya ingin memasang firmware bahasa Inggeris.
