Ancaman Tersembunyi:Bagaimana Baterai Smartphone Dapat Membocorkan Data Pribadi Anda

• Baterai dapat digunakan untuk mencuri informasi sensitif di ponsel cerdas Anda. 
• Untuk melakukan hal ini, para insinyur mengintegrasikan pengontrol mikro di dalam baterai untuk memantau lonjakan penggunaan baterai. 
• Kemudian, mereka menggunakan AI untuk mencocokkan lonjakan ini dengan penekanan tombol tertentu. 

Peneliti keamanan di Universitas Texas, Israel Institute of Technology:Technion, dan Universitas Ibrani, telah menemukan bahwa baterai ponsel cerdas dapat digunakan untuk mencuri informasi sensitif Anda tanpa Anda sadari.

Saat ini, perangkat seluler dilengkapi dengan 'baterai pintar' yang dikembangkan untuk memberikan daya tanggap dan masa pakai baterai yang lebih lama. Namun, baterai ini dapat membahayakan semua data Anda (semua yang Anda ketik di ponsel).

Para peneliti telah menunjukkan bagaimana baterai berbahaya dapat digunakan untuk memantau aktivitas pengguna dan mengirimkan data pribadi yang dikumpulkan ke penyerang jarak jauh melalui saluran rahasia. Mereka menunjukkan bahwa log daya perangkat [yang diambil sampelnya pada 1 KHz] dari baterai memiliki data yang cukup untuk mengekstrak berbagai informasi pribadi.

Peretasan Baterai:Bagaimana Cara Kerjanya?

Untuk mengukur daya yang mengalir masuk dan keluar dari ponsel pintar, peneliti mengintegrasikan pengontrol mikro ke dalam baterai. Kemudian, dengan bantuan sistem kecerdasan buatan offline, mereka mencocokkan aliran daya dengan penekanan tombol tertentu.

Pengontrol mikro di dalam baterai Samsung Galaxy S4

Dengan bantuan pengontrol mikro dan API Status Baterai, penyerang dapat melacak sandi Anda, memantau situs web apa yang Anda kunjungi, kapan Anda menelepon seseorang, membuka kamera, atau aplikasi lainnya.

Singkatnya, penyerang dapat menggunakan catatan konsumsi daya untuk membuat log dari semua yang Anda ketik, atau lakukan, di perangkat.

Namun, peretas memerlukan akses fisik ke perangkat untuk menukar 'baterai berbahaya' dan mulai melacak semuanya. Selain itu, ponsel harus dijalankan dengan baterai, bukan diisi daya. 

Menurut penulis, pertukaran dapat dilakukan dalam waktu singkat:saat pemeriksaan keamanan bandara, atau di toko reparasi atau rantai pasokan. Sel baterai berbahaya mencatat semua jejak daya, dan AI dapat menerjemahkan lonjakan baterai ini menjadi potret aktivitas pengguna yang koheren.

Ikhtisar serangan | Atas izin peneliti

Dalam penelitian tersebut, AI berhasil mendeteksi tombol apa yang sedang disadap pada aplikasi keyboard. Selain itu, jejak penekanan tombol dapat dibedakan dari sentuhan layar lainnya.

Referensi: Serangan inferensi oleh baterai berbahaya di perangkat seluler

Meskipun persyaratan akses fisik ke ponsel membuat peretasan cukup sulit dilakukan dibandingkan serangan lainnya, pengawasan tingkat baterai menawarkan beberapa manfaat.

1. Karena peretasan tidak meninggalkan jejak di ponsel, sulit untuk mengidentifikasi serangan semacam itu.
2. Tidak seperti serangan lainnya, baterai berbahaya ini tidak memerlukan intersepsi lalu lintas jaringan atau aksesori apa pun untuk memantau aktivitas pengguna di perangkat.
3. Sama sekali tidak perlu memodifikasi/mengubah komponen perangkat keras apa pun kecuali mengganti baterai ponsel.
4. Tidak seperti serangan perangkat keras rumit lainnya, menukar baterai sangat sederhana; tidak memerlukan alat khusus.

Pengujian

Para peneliti menerapkan metode mereka pada smartphone Samsung Galaxy Note 4 dan Huawei Mate 9. Mereka berhasil melacak penekanan tombol pada kedua perangkat yang menggunakan keyboard default serta aplikasi keyboard pihak ketiga (SwiftKey).

Safari dan Mozilla telah mencabut dukungan untuk Battery Status API karena masalah privasi. Namun, serangan ini masih didukung di browser Chrome, sehingga serangan ini dapat diterapkan secara luas.

Baca:Baterai Aluminium-Graphene Baru Dapat Diisi Dalam 5 Detik

Untungnya, hingga saat ini belum ada serangan seperti ini yang tercatat di dunia nyata, dan para peneliti menyatakan bahwa serangan tersebut masih bersifat teoritis untuk saat ini.