Dua Perangkat Bluetooth Bisa 'Dipaksa' Berpasangan

Jakarta - Informasi rahasia antar dua perangkat yang berkomunikasi dengan bluetooth bisa disadap saat proses pairing (berpasangan) berlangsung. Tidak ada bahaya mengancam jika proses ini berlangsung mulus tanpa disadap. Tapi bagaimana jika penyadap memaksakan agar proses tersebut berlangsung? Ternyata ada teknik yang mampu memaksa dua ponsel bluetooth untuk melakukan proses pairing kapan saja.Seperti dikutip dari situs NewScientist.com, dua peneliti asal Universitas Tel Aviv, Israel, menemukan titik lemah keamanan perangkat --termasuk ponsel-- ber-bluetooth. Avishai Wool dan Yaniv Shaked, mengatakan mereka menemukan teknik untuk memaksa dua perangkat bluetooth untuk melakukan pairing kapan saja. Bluetooth adalah sebuah protokol yang memungkinkan perangkat berbeda seperti ponsel, laptop, headset dan printer untuk berkomunikasi secara wireless. Komunikasi dimungkinkan jika berlangsung pada jarak 10 sampai 100 meter.Serangan pada ponsel bluetooth sebelumnya bisa terjadi jika fitur keamanannya dimatikan. Tapi pada temuan terbaru dua ilmuan ini, serangan tetap bisa dilancarkan meski fitur keamanannya tetap aktif. Selain itu, serangan biasanya terjadi pada saat proses 'pairing' berlangsung. Ini adalah proses di mana dua perangkat mempersiapkan komunikasi via bluetooth untuk pertama kalinya. Tapi dalam teknik yang didemonstrasikan Wool dan Yaniv, penyerang tidak harus menemukan proses pairing untuk melangsungkan serangan. Mereka bisa memaksakan agar proses ini berlangsung, pada saat yang diperlukan.Menyelinap Tanpa Perlu Mencuri KunciSebelum dua perangkat bluetooth berkomunikasi, keduanya harus menyiapkan sebuah kunci rahasia pada proses pairing. Selama ini dua perangkat bluetooth menyiapkan kunci digital 128 bit. Ini adalah kunci rahasia yang kemudian disimpan dan dipakai dalam proses enkripsi pada komunikasi selanjutnya. Langkah pertama ini mengharuskan pengguna yang sah untuk menginputkan kunci rahasia yang sesuai, PIN empat digit ke perangkat. "Serangan yang kami lakukan memungkinkan untuk menyadap setiap proses komunikasi antar perangkat. Dan hal itu bisa dilakukan tidak hanya ketika proses pairing berlangsung," kata Shaked.Meski pairing hanya berlangsung saat dua perangkat baru berkomunikasi pertama kali, Wool dan Shaked mengatur untuk memaksakan pairing dengan berpura-pura menjadi salah satu dari kedua perangkat tersebut. Pesan lalu dikirim ke perangkat lainnya, dan ketika ditanyai kunci rahasia, dia berpura-pura lupa. Hal ini memacu perangkat lain untuk memutus kunci dan keduanya lalu mulai proses pairing baru. Kesempatan ini kemudian bisa dimanfaatkan oleh hacker untuk mengetahui kunci rahasia yang baru.Selain mengirim pesan 'lupa', hacker hanya perlu mengetahui nomor ID perangkat. Ini bisa dilakukan karena semua perangkat bluetooth menyebarkan informasi ini ke semua perangkat bluetooth yang ada dalam jangkauannya.Shaked dan Wool menunjukkan, begitu seorang hacker memaksa dua perangkat untuk berkomunikasi, keduanya bisa menemukan kunci rahasia hanya dalam waktu 0,06 detik pada komputer berprosesor Pentium IV dan 0,3 detik di Pentium III. "Pairing memungkinkan kita untuk mengambil alih kendali," kata Bruce Schneier, pakar keamanan dari California. "Kita bahkan bisa melakukan panggilan dari ponsel kita, tapi menimpakan biayanya seolah-olah panggilan tersebut dilakukan dari ke ponsel orang lain." Scheier menilai teknik temuan Wool dan Shaked tidak hanya teori, tapi langsung terbukti dalam praktek. (donnybu/)