Pemilik mobil, apakah Anda duduk? Para peneliti keamanan cyber baru-baru ini melaporkan adanya kelemahan dalam sebuah situs web – yang dioperasikan oleh produsen mobil Kia – yang memungkinkan mereka mengendalikan fungsi kunci dari jutaan mobil secara remote.
Laporan lengkap, yang dipublikasikan di blog pribadi Sam Curry – salah satu peneliti – menawarkan timeline bagaimana tim menemukan eksploitasi tersebut dan bagaimana mereka berhasil menggunakannya untuk meretas mobil.
Pada bulan Juni, para peneliti menemukan kerentanan yang mempengaruhi “kendaraan Kia yang memungkinkan kontrol remote atas fungsi kunci hanya dengan menggunakan nomor plat kendaraan.” Laporan mereka mengungkap bahwa mereka dapat melacak lokasi mobil secara remote, membuka pintu, menyetel klakson, dan menyalakan mesin. Pada beberapa model Kia, mereka bahkan dapat mengaktifkan kamera dari jarak jauh.
Para peneliti memberitahu Wired bahwa eksploitasi ini diakses melalui “kelemahan dalam portal web yang dioperasikan” oleh Kia, yang memberikan tim akses ke semua fitur berbasis internet di mobil produsen tersebut.
Curry memposting video YouTube yang menunjukkan dia meretas Kia EV6 2022 dengan aplikasi khusus bernama KIAtool. Dia pertama-tama memasukkan nomor plat kendaraan dan negara bagian AS untuk mendapatkan VIN-nya (nomor identifikasi kendaraan). Setelah semua data diperoleh, Curry pergi ke tab Garasi, menekan “Buka”, dan presto – pintu terbuka.
Selain memberikan akses untuk mengendalikan kendaraan, kelemahan portal web juga memberikan penjahat banyak informasi pribadi tentang pelanggan Kia, termasuk nama, nomor telepon, alamat rumah, dan “rute berkendara masa lalu.”
Para peneliti memberitahu Kia tentang kerentanan situs web, yang sejak itu diperbaiki. Kia mengatakan bahwa kelemahan itu tidak pernah digunakan secara jahat dan KIAtool tidak pernah dirilis ke publik.
Jadi itu adalah akhir yang bahagia, kan? Tidak benar. Eksploitasi override tambahan telah ditemukan sebelumnya pada merek mobil lain, termasuk Honda, Nissan, Mercedes, Hyundai, BMW, dan Ferrari.
Tim Curry juga menemukan kelemahan serupa pada portal web Toyota. Toyota diberitahu masalah tersebut dan segera memperbaikinya. Sangat bagus melihat tindakan yang cepat, tetapi masalahnya adalah ketika ada satu bug, selalu ada banyak lagi di luar sana.
Sayangnya, tidak banyak yang bisa dilakukan oleh pemilik mobil rata-rata; produsen mobil perlu membuat keamanan sebagai prioritas utama. Saya sangat menyarankan untuk menginstal pembaruan perangkat lunak yang tersedia untuk memastikan kendaraan Anda mendapatkan perlindungan terbaik yang mungkin.