Audit Kaspersky menemukan celah keamanan kritis di sistem telematika kendaraan yang memungkinkan pengambilalihan penuh terhadap kendaraan terhubung. Temuan ini menyoroti lemahnya keamanan rantai pasok otomotif dan pentingnya penerapan standar keamanan siber menyeluruh.
Apakah kamu sadar mobil zaman sekarang adalah komputer yang dilengkapi dengan roda? Komputer itu yang mengendalikan mekanisme kendaraan serta memeriksa kondisi suku cadang. Mirip dengan smartphone, tapi bedanya ini tanpa iklan pop-up yang muncul di tampilan dashboard. Seperti halnya komputer yang lain, berrarti ada kesempatan bagi pelaku kejahatan digital untuk menyusupi kendaraan yang kamu naiki.
Audit keamanan Kaspersky menemukan celah serius yang memungkinkan akses tidak sah ke seluruh kendaraan milik satu produsen otomotif. Dari celah itu, penyerang dapat mengeksploitasi kerentanan zero-day dalam aplikasi publik milik kontraktor, kemudian mengambil alih sistem kendaraan sehingga berpotensi membahayakan keselamatan pengemudi dan penumpang.
Skenario yang bisa terbayangkan adalah penyerang bisa memaksa perpindahan gigi atau mematikan mesin saat kendaraan melaju. Atau yang lebih buruk adalah penyerang dapat menyandera pengendara dalam kendaraan yang dibajak oleh penyerang dan memaksa pengendara dan penumpang untuk membayar tebusan demi keselamatan mereka.
Temuan ini memperlihatkan adanya kelemahan siber di rantai pasok otomotif, sehingga perlu penerapan langkah pengamanan yang lebih ketat. Terutama pada sistem pihak ketiga.
Audit yang dilakukan Kaspersky dijalakan dari jarak jauh dengan mengamati layanan publik milik produsen dan infrastruktur kontraktornya. Kaspersky mendapati sejumlah layanan web yang bisa disusupi oleh orang yang seharusnya tidak memiliki akses. Dengan memanfaatkan kerentanan zero-day jenis SQL injection di aplikasi wiki, peneliti dari Kaspersky berhasil mengekstrak daftar pengguna kontraktor beserta hash kata sandinya – hasil enkripsi satu arah yang digunakan untuk menyimpan kata sandi tanpa menampilkan bentuk aslinya. Bahkan beberapa di antaranya berhasil ditebak karena menggunakan kata sandi yang lemah. Dari sini, mereka memperoleh akses ke sistem pelacakan masalah kontraktor yang berisi detail konfigurasi sensitif tentang infrastruktur telematika pabrikan, termasuk file dengan kredensial terenkripsi untuk salah satu server telematika kendaraan.
Eksploitasi Komputasi Kendaraan
Sedangkan di sisi kendaraan, ditemukan firewall yang salah dikonfigurasi sehingga membuka celah keamanan server internal. Dengan kata sandi akun layanan yang diperoleh sebelumnya, para peneliti berhasil masuk ke sistem file server dan menemukan kredensial untuk kontraktor lain, yang akhirnya memberi mereka kendali penuh atas infrastruktur telematika. Lebih mengkhawatirkan lagi, mereka menemukan perintah pembaruan firmware yang memungkinkan pengunggahan firmware yang dimodifikasi ke Telematics Control Unit (TCU), sehingga memberi kesempatan untuk membuka akses ke bus Controller Area Network (CAN) kendaraan.
Bus CAN adalah jaringan internal yang menghubungkan berbagai komponen kendaraan, seperti mesin, transmisi, dan sensor. Akses ke sistem ini memungkinkan manipulasi fungsi vital kendaraan yang berpotensi membahayakan pengemudi dan penumpang. Sistem telematika yang seharusnya digunakan untuk mengumpulkan dan menganalisis data seperti kecepatan dan lokasi kendaraan justru berubah menjadi jalur serangan.
“Kelemahan keamanan ini berasal dari masalah yang cukup umum di industri otomotif, yaitu layanan web yang dapat diakses publik, kata sandi yang lemah, tidak ada otentikasi dua faktor, dan penyimpanan data sensitif yang tidak terenkripsi. Kerentanan ini menunjukkan bagaimana satu kelemahan dalam infrastruktur kontraktor dapat berujung pada potensi bahaya terhadap semua kendaraan berkomputasi. Industri otomotif harus memprioritaskan praktik keamanan siber yang kuat, terutama untuk sistem pihak ketiga, guna melindungi pengemudi dan mempertahankan kepercayaan terhadap teknologi kendaraaan terkini,” kata Artem Zinenko, Head of Kaspersky ICS CERT Vulnerability Research and Assessment.
Kaspersky merekomendasikan langkah-langkah pengamanan menyeluruh. Untuk kontraktor, disarankan membatasi akses internet ke layanan web melalui VPN, mengisolasi layanan dari jaringan korporat, menerapkan kebijakan kata sandi yang ketat, mewajibkan autentikasi dua faktor, mengenkripsi data sensitif, serta mengintegrasikan pencatatan log ke sistem SIEM untuk pemantauan real-time. Sementara untuk produsen otomotif, Kaspersky menyarankan pembatasan akses platform telematika dari segmen jaringan kendaraan, penggunaan allowlist untuk interaksi jaringan, menonaktifkan autentikasi kata sandi SSH, menjalankan layanan dengan hak akses minimal, serta memastikan keaslian perintah dalam TCU agar pembaruan firmware tidak dapat dimanipulasi.
