CCTV dan Bel Pintu Naxclow Punya Celah Kritis, Penyerang Bisa Intip dari Jarak Jauh

CLB.my.id - Naxclow, merek IoT asal Tiongkok yang memproduksi bel pintu pintar dan kamera keamanan rumah, terdeteksi memiliki kerentanan kritis dengan skor CVSS 9.8 dari 10. Celah ini memungkinkan penyerang mengambil alih perangkat, menyadap video langsung, dan mencuri kredensial secara massal dari jarak jauh.

CISA (Cybersecurity and Infrastructure Security Agency) Amerika Serikat menerbitkan advisory ICSA-26-162-02 pada 11 Juni 2026 yang merinci kerentanan pada platform Naxclow IoT. Produk yang terdampak mencakup Smart Doorbell X3, X Smart Home, V720, dan ix cam. Semua versi dari perangkat-perangkat ini terpengaruh.

Perangkat Apa Saja yang Terdampak?

Naxclow memasarkan beberapa produk keamanan rumah yang cukup populer di pasar Asia Tenggara dan global melalui e-commerce. Berikut perangkat yang masuk dalam advisory:

Smart Doorbell X3 adalah bel pintu pintar dengan kamera yang memungkinkan pengguna melihat dan berbicara dengan pengunjung melalui aplikasi ponsel. X Smart Home merupakan kamera keamanan indoor dengan fitur night vision dan deteksi gerakan. V720 adalah kamera PTZ (pan-tilt-zoom) untuk pengawasan rumah atau kantor kecil. Sementara ix cam adalah kamera kompak yang dirancang untuk pemantauan sehari-hari.

Seluruh perangkat ini terhubung ke cloud infrastructure Naxclow melalui protokol MQTT, yang menjadi titik lemah utama dalam arsitektur keamanannya.

Apa Saja Jenis Kerentanannya?

Advisory CISA mengungkap setidaknya empat jenis kerentanan serius pada platform Naxclow. Yang pertama adalah Authorization Bypass Through User-Controlled Key, yang memungkinkan penyerang melewati autentikasi dengan memanipulasi kunci otorisasi.

Kerentanan kedua adalah Missing Encryption of Sensitive Data. Data sensitif termasuk kredensial dan feed video tidak dienkripsi dengan baik selama transmisi, sehingga bisa disadap oleh pihak ketiga.

Ketiga, ada kelemahan pada implementasi kriptografi yang membuat proteksi data menjadi tidak efektif. Dan keempat, hard-coded credentials ditemukan dalam firmware perangkat, yang berarti kredensial default tertanam langsung dalam kode dan bisa diekstrak oleh penyerang yang mengetahui caranya.

Kombinasi keempat kerentanan ini menciptakan rantai eksploitasi yang sangat berbahaya. Penyerang bisa memulai dengan bypass autentikasi, kemudian mengakses kredensial hard-coded, dan akhirnya mengambil alih kendali penuh atas perangkat.

Dampak untuk Pengguna

Implikasi dari celah ini sangat serius bagi privasi pengguna. Penyerang yang berhasil mengeksploitasi kerentanan ini bisa mengakses feed video secara langsung dari bel pintu atau kamera keamanan. Artinya, aktivitas di dalam rumah bisa dipantau tanpa sepengetahuan pemilik.

Lebih jauh lagi, penyerang bisa memanipulasi komunikasi antara perangkat dan server. Untuk bel pintu pintar, ini berarti penyerang bisa menampilkan feed palsu atau menghalangi notifikasi yang seharusnya dikirim ke pemilik rumah.

Skor CVSS 9.8 menunjukkan bahwa eksploitasi celah ini relatif mudah dilakukan tanpa memerlukan interaksi pengguna atau akses fisik ke perangkat. Cukup dengan terhubung ke jaringan yang sama atau memanfaatkan kelemahan cloud Naxclow, penyerang sudah bisa memulai serangan.

Apa yang Harus Dilakukan Pengguna?

Hingga berita ini diturunkan, belum ada patch resmi dari Naxclow untuk menangani seluruh kerentanan yang ditemukan. CISA merekomendasikan beberapa langkah mitigasi sementara.

Pertama, isolasi perangkat IoT dari jaringan utama. Pengguna bisa menempatkan kamera dan bel pintu Naxclow di jaringan tamu terpisah agar penyerang tidak bisa berpindah ke perangkat lain jika berhasil menembus satu perangkat.

Kedua, matikan fitur remote access jika tidak benar-benar diperlukan. Meskipun mengurangi kenyamanan, langkah ini mempersempit permukaan serangan secara signifikan.

Ketiga, pantau lalu lintas jaringan dari perangkat Naxclow untuk mendeteksi aktivitas mencurigakan. Pengguna yang lebih teknis bisa memanfaatkan tools monitoring jaringan seperti Wireshark atau firewall berbasis router.

Pelajaran untuk Konsumen IoT di Indonesia

Kasus Naxclow menjadi pengingat bahwa harga murah dan fitur lengkap tidak selalu berarti keamanan yang baik. Banyak konsumen di Indonesia membeli bel pintu pintar dan kamera keamanan dari marketplace tanpa mempertimbangkan track record keamanan vendor.

Sebelum membeli perangkat IoT untuk rumah, ada baiknya memeriksa apakah vendor pernah masuk dalam advisory keamanan dari lembaga seperti CISA. Vendor yang rutin merilis patch keamanan dan memiliki responsible disclosure program jauh lebih bisa dipercaya dibandingkan yang tidak.

Keamanan rumah pintar bukan hanya soal memasang perangkat, tetapi juga memastikan perangkat tersebut tidak membuka celah baru bagi pihak yang tidak bertanggung jawab.***