Celah Keamanan Fatal: Peretas Bisa Kendalikan Mobil dari Jarak Jauh!

Suara.com - Ditemukan kelemahan keamanan signifikan yang memungkinkan akses tanpa izin ke semua kendaraan, terhubung milik salah satu produsen otomotif.

Ditemukan Kaspersky, yang mengeksploitasi kerentanan zero-day pada aplikasi kontraktor yang dapat diakses publik, kendali atas sistem telematika kendaraan dapat diperoleh.

Hal ini dapat membahayakan keselamatan fisik pengemudi dan penumpang.

Misalnya, penyerang dapat memaksa perpindahan gigi atau mematikan mesin saat kendaraan sedang berjalan.

Temuan ini menyoroti potensi kelemahan keamanan siber di industri otomotif, yang mendorong himbauan untuk langkah-langkah keamanan yang lebih ketat.

Audit keamanan dilakukan dari jarak jauh dan menargetkan layanan publik milik produsen dan infrastruktur kontraktor.

Kaspersky mengidentifikasi beberapa layanan web yang terekspos.

Pertama, melalui kerentanan injeksi SQL zero-day pada aplikasi wiki (platform berbasis web yang memungkinkan pengguna untuk membuat, mengedit, dan mengelola konten secara kolaboratif).

Para peneliti berhasil mengekstrak daftar pengguna di pihak kontraktor dengan hash kata sandi, beberapa di antaranya ditebak karena kebijakan kata sandi yang lemah.

Pelanggaran ini memberikan akses ke system pelacakan masalah kontraktor (alat perangkat lunak yang digunakan untuk mengelola dan melacak tugas, bug, atau masalah dalam suatu proyek).

Pelanggaran ini berisi detail konfigurasi sensitif tentang infrastruktur telematika pabrikan, termasuk berkas berisi kata sandi hash dari pengguna salah satu server telematika kendaraan pabrikan.

Pada mobil modern, telematika memungkinkan pengumpulan, transmisi, analisis, dan pemanfaatan berbagai data (misalnya, kecepatan, geolokasi, dll.) dari kendaraan yang terhubung.

Di sisi kendaraan yang terhubung, Kaspersky menemukan firewall yang salah konfigurasi sehingga mengekspos server internal.

Dengan menggunakan kata sandi akun layanan yang diperoleh sebelumnya, para peneliti mengakses sistem berkas server dan menemukan kredensial kontraktor lain, yang memberikan kendali penuh atas infrastruktur telematika.

Hal paling mengkhawatirkan, para peneliti menemukan perintah pembaruan firmware yang memungkinkan mereka mengunggah firmware yang dimodifikasi ke Unit Kontrol Telematika (TCU).

Hal ini memberikan akses ke bus CAN (Controller Area Network) kendaraan, yakni sebuah sistem yang menghubungkan berbagai bagian kendaraan, seperti mesin dan sensor.

Setelah itu, berbagai sistem lain diakses, termasuk mesin, transmisi, dan lain-lain.

Hal ini memungkinkan potensi manipulasi berbagai fungsi penting kendaraan, yang dapat membahayakan keselamatan pengemudi dan penumpang.

“Kelemahan keamanan ini berasal dari masalah yang cukup umum di industri otomotif, yakni layanan web yang dapat diakses publik, lemahnya kata sandi, kurangnya autentikasi dua faktor (2FA), dan penyimpanan data sensitif yang tidak terenkripsi," ungkap Artem Zinenko, Kepala Penelitian dan Penilaian Kerentanan Kaspersky ICS CERT.

Menurutnya, pelanggaran ini menunjukkan bagaimana satu titik lemah dalam infrastruktur kontraktor dapat mengakibatkan peretasan total terhadap semua kendaraan yang terhubung.

"Industri otomotif harus memprioritaskan praktik keamanan siber yang kuat, terutama bagi sistem pihak ketiga, untuk melindungi pengemudi dan menjaga kepercayaan pada teknologi kendaraan yang terhubung," pungkas dia.