Smartwatch Lenovo Ini jadi “Gadget yang Mengerikan”, Kok Bisa?

Telset.id, Jakarta – Lenovo X Watch dinilai sebagai smartwatch yang “mengerikan”. Penyebabnya, smartwatch Lenovo tersebut dinilai oleh peneliti keamanan sebagai perangkat dengan tingkat keamanan yang sangat buruk.

Sekadar informasi, smartwatch ini merupakan salah satu perangkat low-end dengan harga yang murah, karena dibanderol dengan harga USD 50 atau sekitar Rp 700 ribu, dan hanya dijual di wilayah China saja.

Namun, seorang peneliti keamanan dari Checkmarx, Erez Yalon berhasil mendapatkannya, setelah dia menerima smartwatch Lenovo dari seorang temannya.

Tidak butuh waktu lama baginya untuk menemukan beberapa kerentanan yang memungkinkannya untuk mengubah kata sandi pengguna, membajak akun, dan melakukan panggilan telepon palsu.

Ia mengatakan, smartwatch ini tidak menggunakan enkripsi apa pun untuk mengirim data dari aplikasi ke server. Yalon mengaku, dapat melihat alamat email dan kata sandi dalam teks biasa, serta data pengguna seperti berapa banyak langkah pengguna.

“Seluruh API (Application Programming Interface) tidak terenkripsi. Semua data ditransfer dalam teks biasa,” kata Yalon, seperti dikutip dari Techcrunch, Rabu (13/02/2019)

API pada smartwatch ini mudah disalahgunakan. Dari hasil uji coba yang dilakukan, dia menemukan celah untuk mereset kata sandi siapa pun hanya dengan mengetahui nama pengguna saja. Hal itu dapat memberinya akses ke akun siapa pun.

Tidak hanya itu, ia menemukan bahwa Lenovo X Watch membagikan geolokasi yang tepat dengan server di China. Yalon mengatakan, jam tangan pintar ini sudah menunjukkan lokasinya, bahkan sebelum ia mendaftarkan akunnya.

Penelitian Yalon tidak hanya terbatas pada keamanan API yang buruk. Dia juga menemukan bahwa jam tangan pintar yang diaktifkan dengan bluetooth ini juga dapat dimanipulasi dari dekat, dengan mengirimkan permintaan bluetooth buatan.

Menggunakan skrip atau coding sederhana, ia mendemonstrasikan betapa mudahnya melakukan panggilan telepon. Dengan menggunakan perintah melalui bluetooth, ia juga dapat mengatur alarm, bahkan memungkinkan dia untuk menambah beberapa alarm, sesering mungkin, setiap menit.

Sementara itu, Lenovo enggan bicara tentang kerentanan, selain hanya mengkonfirmasi keberadaan pasar mereka.

“Watch X dirancang untuk pasar China dan hanya tersedia dari Lenovo untuk saluran penjualan terbatas di China,” kata juru bicara Lenovo, Andrew Barron.

“Tim keamanan kami telah bekerja dengan produsen yang membuat perangkat asli untuk mengatasi kerentanan yang berhasil diidentifikasi oleh seorang peneliti dan semua perbaikan akan selesai minggu ini,” lanjutnya.

Yalon mengatakan, untuk mencegah pengintaian dan mengurangi manipulasi, pengguna sebaiknya mengenkripsi traffic antara jam tangan, aplikasi Android dan web server.

“Memperbaiki izin API akan menghilangkan kemampuan oknum penjahat untuk mengirim perintah ke arloji, panggilan palsu, dan mengatur alarm,” jelas Yalon. (BA/FHP)