Apa itu Voice Squatting?
Voice squatting adalah salah satu metode serangan pada antarmuka pengguna berbasis suara atau VUIs. Serangan ini memanfaatkan homonim — kata-kata yang terdengar sama tetapi memiliki ejaan berbeda — dan kesalahan pengucapan. Voice squatting juga dikenal sebagai skill squatting karena Amazon menyebut aplikasi pihak ketiga sebagai “skills”.
Voice squatting mirip dengan typosquatting, yaitu eksploitasi siber yang memanfaatkan kesalahan ketik saat pengguna memasukkan alamat situs web. Penyerang membeli domain dengan ejaan salah untuk melakukan serangan, sering kali untuk mencuri informasi pribadi pengguna (PII).
Istilah voice squatting pertama kali diperkenalkan pada tahun 2018, setelah publikasi makalah dari para peneliti Indiana University, Chinese Academy of Sciences, dan University of Virginia.
Amazon dan Google menyatakan bahwa mereka telah menyediakan perlindungan terhadap serangan voice squatting.
Bagaimana Voice Squatting Bekerja?
Asisten virtual berbasis AI, seperti Amazon Alexa, Apple Siri, Google Assistant, dan Microsoft Copilot, menggunakan kata kunci suara untuk membuka aplikasi pihak ketiga. Penyerang voice squatting mendaftarkan aplikasi pihak ketiga palsu dengan kata kunci suara yang terdengar mirip dengan aplikasi resmi.
Sebagai contoh, jika ada aplikasi resmi bernama “Library”, penyerang bisa membuat aplikasi palsu dan mendaftarkannya sebagai libary, yang merupakan kesalahan pengucapan umum. Atau, jika ada aplikasi perbankan resmi bernama “Goldman Sachs”, penyerang mungkin mendaftarkan kata kunci suara goldmine sacks untuk menipu pengguna dan AI agar membuka aplikasi palsu.
Tujuan penyerang adalah agar saat pengguna meminta aplikasi resmi, AI malah membuka aplikasi palsu yang telah mereka buat.
Voice squatting berbahaya karena aplikasi atau “skills” palsu dapat berjalan tanpa terdeteksi di latar belakang untuk waktu yang lama. Selain merekam pengguna tanpa izin atau pengetahuan mereka, voice squatting dapat digunakan untuk menyebarkan berita palsu, menjalankan skema phishing, atau memanipulasi pengguna agar mengungkapkan informasi pribadi mereka (PII).
Perkembangan Teknologi Terkini
Untuk mengatasi ancaman ini, Amazon, Google, dan penyedia layanan serupa telah meningkatkan algoritma pengenalan suara mereka untuk lebih akurat dalam membedakan aplikasi palsu dari yang asli. Selain itu, fitur seperti otentikasi suara ganda dan peringatan keamanan berbasis AI kini sedang diterapkan untuk meminimalkan risiko serangan ini. Pengguna juga disarankan untuk memeriksa aplikasi pihak ketiga sebelum menggunakannya dan mengatur izin dengan hati-hati.