Untuk meretas Halo 3C, mereka menemukan bahwa jika bisa terhubung ke jaringan tempat perangkat ini terpasang, mereka dapat menebak sandinya dengan brute-force hampir tanpa batasan karena celah dalam cara sistem mencoba membatasi tebakan tersebut. “Sangat mudah untuk menebak sandi secepat perangkat bisa merespons,” kata Nyx. Artinya, mereka bisa menebak sekitar 3.000 sandi per menit dan membongkar sandi yang kurang kompleks dengan relatif cepat.
Setelah mendapatkan akses admin ke Halo 3C, mereka bisa memperbarui firmware-nya sesuai keinginan: Meski ada fitur keamanan yang mengharuskan pembaruan firmware dienkripsi dengan kunci kriptografi tertentu, kunci itu sebenarnya ada dalam pembaruan firmware yang tersedia di situs web Halo. “Mereka memberimu kotak terkunci dengan kunci yang ditempel di bagian bawah,” ujar Nyx. “Selama kamu tahu harus melihat ke sana, kamu bisa membukanya.”
Sebuah juru bicara Motorola Solutions menyatakan dalam pernyataan: “Motorola Solutions merancang, mengembangkan, dan menerapkan produk kami dengan prioritas keamanan data untuk melindungi kerahasiaan, integritas, dan ketersediaan data. Pembaruan firmware tersedia, dan kami bekerja sama dengan pelanggan serta mitra saluran untuk menerapkan pembaruan ini bersama rekomendasi tambahan dan praktik terbaik industri dalam keamanan.”
Materi pemasaran daring menyebut Halo 3C menggunakan “algoritma Dynamic Vape Detection” yang bisa mendeteksi nikotin, THC, dan saat seseorang mencoba menyamarkan vaping dengan aerosol. Halo juga bisa “mengirim peringatan ke tim keamanan tentang gerakan di luar jam operasional” serta memiliki “fitur kata kunci lisan.”
“Sensor Cerdas HALO bisa mendeteksi kata kunci lisan tertentu yang langsung mengingatkan keamanan akan potensi masalah. Kata kunci seperti ‘tolong’ sangat berguna di lingkungan sekolah saat ada kasus perundungan atau guru yang membutuhkan bantuan, juga untuk perawat dan pasien rumah sakit,” tambah materi pemasaran itu. Bagian lain menyebut sensor ini bisa mendeteksi “perundungan atau agresi” di sekolah.
Materi pemasaran juga menyatakan sensor Halo telah digunakan di perumahan publik New York. “Sensor membantu SSHA [Saratoga Springs Housing Authority] mengurangi risiko, menegakkan aturan larangan merokok, dan melindungi penghuni rentan, dengan rencana pemasangan lebih luas di seluruh otoritas perumahan,” tulisnya.
Nyx berpendapat bahwa mewajibkan penghuni perumahan publik menyimpan perangkat yang bisa diretas—dan berubah jadi alat penyadap audio—di apartemen mereka mungkin jadi penerapan Halo 3C yang paling mengkhawatirkan. “Itu menaikkan level betapa buruknya lini produk ini,” kata Nyx. “Kebanyakan orang berasumsi rumah mereka tidak disadap, kan?”
Seiring menyebarnya sensor seperti Halo 3C di sekolah bahkan rumah, Vasquez-Garcia mengatakan pelajaran terbesar dari temuan dia dan Nyx adalah bahwa memasang mikrofon dan koneksi internet ke setiap perangkat—bahkan sesederhana detektor asap—adalah keputusan berisiko. “Jika ada satu hal yang harus diingat, itu: Jangan percaya begitu saja setiap perangkat IoT hanya karena klaimnya untuk keamanan,” ujar Vasquez-Garcia. “Masalah sebenarnya adalah kepercayaan. Semakin kita menerima perangkat yang bilang ‘tidak merekam’ secara mentah-mentah, semakin kita menormalisasi pengawasan tanpa benar-benar tahu isinya atau peduli untuk mempertanyakannya.”