Peneliti Temukan Kerentanan Serius Pada Sistem di Mobil Mercedes, BMW, Porsche dan Ferrari

JAKARTA - Sekelompok peneliti menemukan celah dari berbagai produsen mobil terbesar di dunia, yang dapat dimanfaatkan peretas, bukan hanya sekadar mencuri data pribadi pemiliknya melainkan dapat menggerakkan kendaraan itu dari jarak jauh.

Peneliti yang berjumlah tujuh orang itu, termasuk bug bounty hunter dan insinyur keamanan staf Yuga Labs Sam Curry. Mereka menemukan produk dari sebanyak 16 produsen mobil besar dan tiga vendor teknologi kendaraan memiliki celah keamanan.

Celah ini sangat berisiko, dapat menyebabkan pengambilalihan akun, eksekusi kode jarak jauh (RCE), belum lagi pelaksanaan perintah yang mengarah ke kontrol fisik kendaraan.

Beberapa kerentanan juga dapat digunakan untuk pencurian informasi dengan mengarahkan peretas langsung ke Informasi Pengenal Pribadi (PII) pengguna mobil yang disimpan di aplikasi mobil.

Satu masalah signifikan adalah, beberapa pembuat mobil mengandalkan perangkat lunak API pihak ketiga alih-alih membangun teknologi sendiri. Menurut Curry, kerentanan itu memengaruhi Ford, Toyota, Mercedes, BMW, Porsche, Ferrari, dan lainnya.

Saat Curry dan rekan-rekan penelitinya menggali lebih dalam, mereka sangat terkejut dengan seberapa banyak informasi dan dampak yang dapat mereka timbulkan dengan Nomor Identifikasi Kendaraan (VIN).

"Nomor VIN sangat umum, Anda bisa berjalan ke mobil untuk mendapatkan nomor VIN. Tetapi dengan banyak API ini, jika Anda memiliki nomor VIN, itu hanya akan mengembalikan nama lengkap orang tersebut atau level baterai kendaraan dan Anda dapat menambahkannya ke akun Anda," ujar Curry.

Para peneliti dapat menggunakan nomor VIN tidak hanya untuk mengambil kendali penuh atas akun kendaraan pemilik, yang mencakup sejumlah besar informasi pribadi, mereka juga dapat mengunci dan membuka kunci dari jarak jauh, menghentikan mesin, menemukan kendaraan lainnya seperti Kia, Honda, Infiniti, Nissan dan Acura.

Selain itu, peneliti juga bisa mencapai akses administrasi untuk mengelola semua akun pengguna dan kendaraan untuk kendaraan apa pun yang terhubung ke perusahaan pelat nomor digital Reviver.

Kerentanan dapat digunakan para peneliti melacak lokasi fisik kendaraan melalui GPS dan menandainya dicuri di plat nomor. Dalam sebuah pernyataan, Reviver mengatakan mereka tidak menemukan bukti bahwa kerentanan itu dieksploitasi dan mengambil tindakan lebih lanjut untuk mencegah hal ini terjadi di masa depan.

“Masing-masing perusahaan ini memiliki portal untuk pinjaman kredit. Jadi, ada banyak info seperti nama Anda, alamat Anda, informasi tagihan Anda," kata Curry.

Dikatakan Curry, sekarang semua kekurangan yang dilaporkannya dan tim telah ditambal oleh perusahaan mobil tersebut.

Kerentanan yang sekarang diperbaiki itu ada di penyedia GPS Spireon, vendor sistem komunikasi kendaraan SiriusXM dan penyedia platform-as-a-service otomotif Reviver dan pelanggan hilir termasuk Roll Royce, BMW, Ferrari, Mercedes-Benz, Jaguar, Porsche, Land Rover, Toyota, Honda, Nissan, Hyundai, Ford, KIA, Acura, Genesis, dan Infiniti.

"Kami akan menemukan kerentanan pada satu perusahaan mobil dan kemudian kami akan melaporkannya, kemudian kami akan beralih ke perusahaan mobil lain dan itu akan menjadi hal yang persis sama," ungkap Curry dalam unggahan blog-nya yang dikutip dari CyberScoop, Senin, 9 Januari.

Temuan ini menggarisbawahi risiko keamanan bagi konsumen dan pembuat mobil karena produsen mobil terus meningkatkan jumlah perangkat lunak di kendaraan dan memberi pemilik aplikasi untuk terhubung dengan mobil mereka. Dengan penemuan Curry, menunjukkan pembuat mobil harus berbuat lebih banyak untuk fokus pada keamanan siber.