Belum lama ini para pejabat militer Amerika Serikat dikejutkan oleh pengungkapan bahwa pelacak kebugaran digital personel militer menyimpan lokasi-lokasi latihan fisik mereka—termasuk di dalam atau di dekat pangkalan militer dan situs rahasia di seluruh dunia. Ancaman ini tidak hanya terbatas pada Fitbit dan peranti-peranti serupa. Penelitian mutakhir yang dilakukan kelompok saya menunjukkan bahwa telepon seluler juga bisa melacak pengggunanya di pusat perbelanjaan dan kota-kota besar di seluruh dunia—bahkan ketika pengguna mematikan layanan pelacakan lokasi telepon seluler.
Kerentanan berasal dari banyak ragam sensor yang dipasang di ponsel—bukan cuma GPS dan antarmuka komunikasi, melainkan juga giroskop dan akselerometer. Akselerometer bisa mengetahui apakah sebuah ponsel sedang dipegang tegak atau horizontal, selain bisa juga mengukur gerakan-gerakan lainnya. Berbagai aplikasi ponsel bisa menggunakan sensor-sensor tersebut untuk melakukan tugas-tugas yang tidak disangka pengguna—seperti mengikuti pergerakan pengguna belokan demi belokan di sepanjang jalanan kota.
Banyak orang yang mengira bahwa mematikan layakan lokasi ponsel mereka berarti juga mematikan jenis pengawasan bergerak ini. Tetapi penelitian yang saya lakukan bersama kolega-kolega saya Sashank Narain, Triet Vo-Huu, Ken Block, dan Amirali Sanatinia di Universitas Northeastern, dalam bidang yang disebut “serangan side-channel,” mengungkapkan bagaimana aplikasi bisa menghindari atau lolos dari pembatasan-pembatasan tersebut. Kami mengungkapkan bagaimana sebuah ponsel bisa menyadap ketukan jari pengguna untuk mendapatkan kata sandi. Bahkan, cukup dengan ponsel yang Anda kantongi di saku perusahaan-perusahaan data bisa tahu di mana Anda berada dan mau ke mana Anda.
Asumsi-asumsi serangan
Ketika merancang perlindungan bagi sebuah peranti atau sebuah sistem, orang membuat asumsi-asumsi tentang ancaman-ancaman apa yang akan muncul. Mobil, misalnya, dirancang untuk melindungi penggunanya dari tabrakan dengan mobil lain, menabrak gedung, pagar pembatas jalan, tiang telepon dan benda-benda lain yang lazim ditemukan di dekat jalan. Mobil tidak dirancang untuk melindungi keselamatan pengguna dalam mobil yang terjun ke jurang atau dihantam batu besar yang menjatuhi mobil. Tidak ekonomis jika para insinyur merancang perlindungan dari bahaya yang diasumsikan sangat tidak lazim.
Begitu pula halnya dengan perangkat lunak dan perangkat keras, orang membuat asumsi tentang apa yang mungkin dilakukan para peretas. Tapi tidak lantas perangkat-perangkat itu aman. Salah satu serangan side-channel diidentifikasi pada tahun 1996 oleh ahli kriptografi Paul Kocher. Dia menunjukkan bahwa sistem kripto yang populer dan mestinya aman bisa dia jebol dengan menghitung secara cermat waktu yang diperlukan sebuah komputer untuk mendekripsi sebuah pesan terenkripsi. Para perancang sistem kripto tidak membayangkan akan ada penyerang yang melakukan pendekatan itu, sehingga sistem yang mereka bangun rentan terhadap serangan tersebut.
Selama bertahun-tahun, ada banyak serangan lain yang menggunakan segala macam pendekatan berbeda. Kerentanan Meltdown and Spectre mutakhir, yang mengeksploitasi cacat desain dalam prosesor komputer, juga merupakan serangan side-channel. Serangan yang memanfaatkan kebocoran informasi karena aktivitas program ini memungkinkan aplikasi-aplikasi berbahaya mengintai data aplikasi-aplikasi lain dalam memori komputer.
Pemantauan yang sangat aktif
Perangkat seluler adalah sasaran empuk bagi serangan dari arah tak terduga jenis ini. Perangkat tersebut dilengkapi berbagai sensor, biasanya meliputi, sekurang-kurangnya, satu akselerometer, sebuah giroskop, sebuah magnetometer, sebuah barometer, sampai empat mikrofon, satu atau dua kamera, sebuah termometer, sebuah pedometer, sebuah sensor cahaya dan sebuah sensor kelembapan.
Aplikasi bisa mengakses sebagian besar sensor-sensor tersebut tanpa meminta izin pengguna. Dengan memadukan pembacaan dari dua atau lebih perangkat, sering kali dimungkinkan melakukan hal-hal di luar dugaan para pengguna, perancang telepon, dan pencipta aplikasi.
Dalam salah satu proyek mutakhir, kami mengembangkan sebuah aplikasi yang bisa menentukan huruf apa yang diketikkan pengguna di papan ketik layar sebuah telepon seluler—tanpa membaca input dari papan ketik. Yang kami lakukan adalah menggabungkan informasi dari giroskop telepon dan mikrofonnya.
Ketika seorang pengguna mengetuk-ngetuk layar di lokasi-lokasi berbeda, ponsel beputar sedikit dan itu bisa diukur oleh giroskop mikromekanis tiga poros yang terdapat dalam hampir semua ponsel masa kini. Lebih dari itu, mengetuk layar ponsel menghasilkan suara yang bisa direkam oleh masing-masing mikrofon sebuah ponsel. Sebuah ketukan di tengah layar tidak akan banyak menggerakkan ponsel. Ketukan itu akan mencapai semua mikrofon pada saat yang sama, dan akan bersuara yang kurang lebih sama bagi semua mikrofon. Namun, sebuah ketukan di tepi kiri bawah layar akan memutar ponsel ke kiri dan ke bawah; ketukan itu akan mencapai mikrofon kiri lebih cepat; dan akan terdengar lebih keras bagi mikrofon-mikrofon di dekat dasar layar dan kurang keras bagi mikrofon-mikrofon lain dalam perangkat itu.
Pemrosesan data gerakan dan suara secara bersamaan memungkinkan kita menentukan huruf apa yang ditekan pengguna. Kami benar di atas 90% dalam hal ini. Fungsi jenis ini bisa ditambahkan diam-diam pada semua aplikasi dan bekerja tanpa diketahui pengguna.
Mengidentifikasi lokasi
Kami juga penasaran apakah sebuah aplikasi jahat bisa menyimpulkan keberadaan pengguna, termasuk di mana mereka tinggal dan bekerja, dan rute mana yang mereka tempuh—informasi yang oleh kebanyakan orang dianggap sangat pribadi.
Kami ingin mengetahui apakah lokasi seorang pengguna bisa diidentifikasi hanya dengan menggunakan sensor-sensor yang tidak memerlukan izin pengguna. Rute yang ditempuh seorang pengemudi, misalnya, bisa disederhanakan menjadi serangkaian belokan, masing-masing dalam arah tertentu dan dengan sudut tertentu. Dengan aplikasi lain, kami menggunakan kompas ponsel untuk mengamati arah perjalanan seseorang. Aplikasi itu juga menggunakan giroskop ponsel, mengukur urutan sudut-sudut belokan rute yang ditempuh pengguna. Sedangkan akselerometer menunjukkan apakah pengguna berhenti atau berjalan.
Dengan mengukur urutan belokan, lalu merangkai semuanya sebagai perjalanan seseorang, kami bisa membuat peta pergerakannya. (Dalam penelitian kami, kami mengetahui kota di mana kami melacak orang. Tapi pendekatan yang sama bisa dipakai untuk mencari tahu di kota mana seseorang berada.)
Bayangkan kami mengamati seseorang di Boston yang menuju barat daya, berbelok 100 derajat ke kanan, membuat putaran U tajam ke kiri menuju barat daya, berbelok sedikit ke kanan, terus lurus,lalu mengikuti sedikit lengkungan ke kiri, berbelok cepat ke kanan, berguncang-guncang naik turun lebih dari biasanya di sebuah jalan, berbelok 55 derajat ke kanan, dan berbelok 97 derajat ke kiri, lalu mengikuti sedikit lengkungan ke kanan sebelum berhenti.
Kami mengembangkan algoritme untuk mencocokkan pergerakan itu dengan sebuah peta digital jalanan kota di mana pengguna itu berada, dan menentukan rute mana yang paling mungkin ditempuh orang yang bersangkutan. Pergerakan itu bisa mengidentifikasi sebuah rute mengemudi dari Fenway Park, menyusuri Back Bay Fens, melewati Museum of Fine Arts dan tiba di Northeastern University.
Kami bahkan bisa menyempurnakan algoritme kami untuk menggabungkan informasi tentang lengkungan di jalan dan batas kecepatan untuk mempersempit opsi. Kami memproduksi hasil-hasil kami dalam sebuah daftar kemungkinan jalan dengan pemeringkatan menurut kemungkinan algoritme menganggap hasil-hasil itu sesuai dengan rute sesungguhnya. Sering kali, di sebagian besar kota yang kami jadikan percobaan, jalan sesungguhnya yang ditempuh seorang pengguna tercakup dalam item 10 besar di daftar.Penyempurnaan data peta, pembacaan sensor dan pencocokan algoritme bisa meningkatkan secara substansial akurasi kami. Sekali lagi, jenis kemampuan ini bisa ditambahkan pada aplikasi apa pun oleh pengembang jahat, memungkinkan aplikasi yang tampak tidak mencurigakan mengintai para pengguna mereka.
Kelompok penelitian kami terus menyelidiki bagaimana serangan side-channel bisa digunakan untuk mengungkapkan beragam informasi pribadi. Misalnya, dengan mengukur gerakan sebuah ponsel ketika pemiliknya sedang berjalan bisa diketahui berapa umur orang itu, apakah dia laki-laki (dengan ponsel di saku) atau perempuan (biasanya dengan ponsel di dompet), atau bahkan informasi kesehatan terkait sekokoh apa dia berdiri atau sesering apa dia tersandung. Kami mengasumsikan ada lebih banyak yang bisa diungkapkan ponsel Anda berkat pengintaian—dan kami berharap bisa mengetahui apa, dan bagaimana, atau melindungi dari aksi mata-mata semacam itu.
Untuk pencegahan, kami mengembangkan mekanisme yang bisa memberi pengguna ponsel akses untuk memantau apa yang sedang dilakukan aplikasi (misalnya, kapan dan bagaimana mereka mengakses sensor) dan mengendalikan informasi apa dan kapan aplikasi itu mengaksesnya.
Kami harap kami bisa meluncurkan sistem itu segera. Sementara itu, rekomendasi dasar kami bagi para pengguna adalah untuk menghindari menginstal aplikasi dari sumber yang tidak Anda percayai dan menghapus aplikasi ketika Anda tak lagi membutuhkannya.