Jakarta -

Kasus pembobolan komputer melalui perangkat keras biasanya melibatkan perangkat yang kompleks. Namun, siapa sangka jika sebuah soundbar--yang fungsi utamanya hanya untuk memutar audio--kini bisa dimanfaatkan sebagai jembatan nirkabel untuk meretas PC tanpa perlu pairing sama sekali.

Skenario peretasan yang tidak biasa ini diungkap oleh seorang peneliti keamanan siber, Rasmus Moorats. Ia menemukan celah fatal pada Creative Sound Blaster Katana V2X, sebuah soundbar kelas menengah yang biasa dihubungkan ke PC, Mac, atau Linux melalui USB maupun Bluetooth.

Alih-alih sekadar mengutak-atik perangkat, Moorats justru menemukan kerentanan serius yang bisa mengambil alih komputer korban. Berikut adalah rangkuman bagaimana soundbar ini bisa berubah menjadi senjata peretas:

1. Jalur Masuk via Bluetooth Tanpa 'Pairing'

Akar masalahnya terletak pada lapisan komunikasi eksklusif yang disebut Creative Transport Protocol (CTP). Protokol ini bertugas mengatur fungsi rutin seperti pencahayaan dan pengaturan suara, sekaligus menjembatani komunikasi dua arah antara soundbar dan komputer.

Parahnya, akses ke protokol ini sangat longgar. Moorats menemukan bahwa perangkat Bluetooth apa pun yang berada dalam jangkauan dapat terhubung ke soundbar dan mengirimkan perintah tanpa perlu autentikasi atau proses pairing. Hal ini menciptakan jalur komunikasi langsung ke perangkat yang secara fisik terhubung ke komputer.

2. Celah Pembaruan Firmware yang Longgar

Masalah menjadi semakin fatal pada sistem pembaruan firmware soundbar. Proses pembaruan ini ternyata tidak memiliki code signing atau validasi keamanan yang memadai.

Moorats membuktikan kelemahan ini dengan mengunggah firmware kustom buatannya sendiri secara nirkabel (OTA). Firmware bodong tersebut berhasil terinstal dan membuktikan bahwa peretas bisa memasukkan kode berbahaya apa pun ke dalam soundbar.

3. 'Menyamar' Menjadi Keyboard Hantu

Creative Katana V2X berjalan menggunakan FreeRTOS, sistem operasi tertanam yang sangat populer. Di dalam sistem ini, Moorats menemukan dukungan bawaan untuk fungsi Human Interface Device (HID)--kelas perangkat USB yang sama dengan keyboard, mouse, dan webcam.

Dengan memodifikasi firmware, Moorats berhasil memanipulasi soundbar agar dikenali oleh komputer sebagai perangkat tambahan, yakni sebuah keyboard. Dari titik ini, soundbar bisa "mengetik" dan mengirimkan perintah jahat secara diam-diam ke PC korban.

"Menggabungkan semuanya, saya bisa sepenuhnya dari jarak jauh... mengunggah firmware kustom ke speaker yang belum pernah saya pairing, lalu perangkat akan reboot, memasang firmware jahat, dan mengetikkan perintah eksekusi ke PC," tulis Moorats.

Dalam skenario serangan nyata, peretas bisa memerintahkan 'keyboard hantu' ini untuk membuka program seperti PowerShell dan mengeksekusi kode perusak, lalu mengunci sistem agar firmware jahat tersebut tidak bisa dihapus.

Ancaman Menetap Meski Terbatas Jarak

Satu-satunya kabar baik adalah serangan ini mewajibkan peretas berada dalam jangkauan Bluetooth. Artinya, ancaman ini terbatas pada tetangga, teman serumah, atau orang di kantor yang sama. Meski begitu, celah ini tetap berbahaya karena Bluetooth pada soundbar ini akan terus aktif meskipun perangkat dalam mode tidur (sleep mode), dan tidak ada cara mudah untuk mematikannya.

Moorats telah melaporkan temuannya ini kepada pihak Creative Technology. Setelah sempat bungkam, CERT Singapore (Badan Siber Singapura) turun tangan menjembatani komunikasi. Mengejutkannya, pihak Creative merespons dengan menyatakan bahwa tim teknisi mereka tidak menganggap celah perilaku perangkat ini sebagai sebuah kerentanan (vulnerability), demikian dikutip detikINET dari Techspot, Jumat (12/6/2026).

(asj/asj)