-
Kaspersky menemukan celah serius yang memungkinkan peretas mengendalikan seluruh kendaraan terhubung milik produsen otomotif melalui kerentanan zero-day.
-
Akar masalah berasal dari keamanan lemah kontraktor, seperti kata sandi mudah, kurangnya 2FA, dan data sensitif tidak terenkripsi.
-
Kerentanan ini mengancam keselamatan fisik, karena memungkinkan manipulasi fungsi penting kendaraan seperti mesin dan transmisi
Suara.com - Ditemukan kelemahan keamanan signifikan yang memungkinkan akses tanpa izin ke semua kendaraan, terhubung milik salah satu produsen otomotif.
Ditemukan Kaspersky, yang mengeksploitasi kerentanan zero-day pada aplikasi kontraktor yang dapat diakses publik, kendali atas sistem telematika kendaraan dapat diperoleh.
Hal ini dapat membahayakan keselamatan fisik pengemudi dan penumpang.
Misalnya, penyerang dapat memaksa perpindahan gigi atau mematikan mesin saat kendaraan sedang berjalan.
Temuan ini menyoroti potensi kelemahan keamanan siber di industri otomotif, yang mendorong himbauan untuk langkah-langkah keamanan yang lebih ketat.
Audit keamanan dilakukan dari jarak jauh dan menargetkan layanan publik milik produsen dan infrastruktur kontraktor.
Kaspersky mengidentifikasi beberapa layanan web yang terekspos.
Pertama, melalui kerentanan injeksi SQL zero-day pada aplikasi wiki (platform berbasis web yang memungkinkan pengguna untuk membuat, mengedit, dan mengelola konten secara kolaboratif).
Para peneliti berhasil mengekstrak daftar pengguna di pihak kontraktor dengan hash kata sandi, beberapa di antaranya ditebak karena kebijakan kata sandi yang lemah.
Pelanggaran ini memberikan akses ke system pelacakan masalah kontraktor (alat perangkat lunak yang digunakan untuk mengelola dan melacak tugas, bug, atau masalah dalam suatu proyek).
Pelanggaran ini berisi detail konfigurasi sensitif tentang infrastruktur telematika pabrikan, termasuk berkas berisi kata sandi hash dari pengguna salah satu server telematika kendaraan pabrikan.
Pada mobil modern, telematika memungkinkan pengumpulan, transmisi, analisis, dan pemanfaatan berbagai data (misalnya, kecepatan, geolokasi, dll.) dari kendaraan yang terhubung.
Di sisi kendaraan yang terhubung, Kaspersky menemukan firewall yang salah konfigurasi sehingga mengekspos server internal.
Dengan menggunakan kata sandi akun layanan yang diperoleh sebelumnya, para peneliti mengakses sistem berkas server dan menemukan kredensial kontraktor lain, yang memberikan kendali penuh atas infrastruktur telematika.
Hal paling mengkhawatirkan, para peneliti menemukan perintah pembaruan firmware yang memungkinkan mereka mengunggah firmware yang dimodifikasi ke Unit Kontrol Telematika (TCU).
TERPOPULER
