- Tim peneliti temukan celah keamanan di sistem mobil Kia terhubung ke internet.
- Celah keamanan ini bisa dipakai buat ngontrol mobil secara remote dan akses data pribadi pemilik.
- Produsen mobil harus prioritaskan peningkatan keamanan cyber di sistem mobil terhubung ke internet.
pibitek.biz -Bayangin, mobil kamu dikontrol orang lain cuma pake nomor plat! Mengerikan banget, kan? Nah, ternyata itu beneran terjadi. Bukan cuma satu atau dua mobil, tapi jutaan mobil Kia yang terdampak. Sampai pertengahan Agustus 2024 lalu, mobil Kia rentan dibobol secara remote cuma pake nomor plat. Sebuah tim peneliti keamanan yang udah lama pantau keamanan mobil terhubung ke internet, nemuin celah ini di sistem Kia. Mereka udah beberapa kali nemuin celah keamanan di mobil Kia, Honda, Infiniti, Nissan, Acura, BMW, Mercedes, dan merk lainnya.
2 – Startup AI Perplexity Bidik Pendanaan 7 Triliun 2 – Startup AI Perplexity Bidik Pendanaan 7 Triliun
3 – Fitur Canvas ChatGPT Tampilkan Perubahan Teks 3 – Fitur Canvas ChatGPT Tampilkan Perubahan Teks
Celah ini udah dilaporkan ke Kia, dan akhirnya diperbaiki pada pertengahan Agustus 2024. Gimana caranya? Jadi, tim peneliti ini nemuin celah di sistem API yang nyambungin mobil ke internet. API ini kayak jembatan yang ngebantu komunikasi antar sistem, misalnya dari ponsel ke mobil. Celah ini bisa dipakai buat ngontrol berbagai fitur mobil, kayak mengunci dan membuka pintu, menyalakan dan mematikan mesin, menyalakan lampu dan klakson, dan lain-lain. Saking rentannya, para peneliti bisa ambil akses ke akun dealer Kia dan masuk ke sistem API nya.
Mereka pakai akses ini buat masukkan nomor plat mobil dan ambil data yang membantu ngontrol mobil secara remote. Mereka bisa ngontrol fitur mobil kayak nyalain dan matiin mesin, mengunci dan membuka pintu, nyalain lampu dan klakson, dan ngetahui lokasi mobil. Parahnya, mereka bisa ambil data pribadi pemilik mobil, dan merekam diri mereka sendiri sebagai pemilik utama mobil tersebut. Celah ini ngaruh ke berbagai model Kia, mulai dari tahun 2013 sampai 2025. Untuk model lama, para peneliti buat alat khusus yang bisa dipakai buat masuk ke sistem mobil cuma dengan masukkan nomor plat mobil.
Dalam waktu 30 detik, mereka bisa ngontrol mobil tersebut secara remote. "Celah keamanan ini mengindikasikan betapa rumitnya sistem API yang dipakai di mobil terhubung ke internet", jelas Ivan Novikov, CEO perusahaan keamanan API Wallarm. "Produsen mobil harus prioritaskan peningkatan keamanan cyber dengan ngasih sistem otentikasi yang lebih kuat dan ngamanin saluran komunikasi buat mencegah akses yang tidak sah". Akhil Mittal, senior manager strategi dan solusi keamanan cyber di Synopsys Software Integrity Group, nyebutin bahwa celah ini ngasih sinyal bahwa kerentanan terbesar di mobil terhubung ke internet sering terjadi di sistem yang komunikasi dengan dunia luar.
Contohnya, sistem telematic yang terus nyambung ke internet. "Sistem infotainment juga jadi perhatian, karena nyambung ke ponsel, aplikasi, dan layanan lain, yang ngasih jalan buat hacker masuk ke jaringan internal mobil", jelas Mittal. "Serangan ke Kia ini ngasih tahu betapa rentannya API dan layanan cloud; kalo API yang ngontrol fungsi penting enggak diamanin dengan benar, jadi sasaran mudah buat hacker". Berita tentang serangan ke Kia nambahin kekhawatiran tentang mobil terhubung ke internet, enggak cuma soal keamanan aja.
Di awal tahun 2024, dua anggota senat AS, Ron Wyden dan Edward Markey, ngecam General Motors, Honda, dan Hyundai karena ngumpulin data pribadi pemilik mobil dan perjalanan mereka dari mobil yang terhubung ke internet. Kedua anggota senat ini bilang bahwa pengumpulan data ini ngasih gambaran tentang masalah yang terjadi di industri mobil dan ngasih sinyal tentang kebutuhan pengawasan dan penyelidikan yang lebih ketat terhadap praktik produsen mobil. "Vendor otomotif udah kebukti enggak bertanggung jawab soal keamanan terus menerus, dan gue penasaran sampai kapan kita bakal ngeliat ini terjadi sebelum ada tindakan yang diambil", kata David Brumley, CEO perusahaan keamanan software ForAllSecure. "Dulu supir rata-rata cuman khawatir kalo kuncinya dicuri. Sekarang mereka harus khawatir apakah dealer atau produsen mereka punya API yang enggak aman. Mana sih National Transportation Safety Board di masalah ini?" Kia Motors belum ngasih tanggapan atas permintaan komentar dari Dark Reading. Mobil terhubung ke internet emang si keren, bisa ngasih berbagai fitur yang nyaman buat pengguna. Tapi, di balik segala kehebatannya, ternyata mobil terhubung ke internet juga rentan dibobol secara remote. Kalo enggak diamanin dengan baik, mobil terhubung ke internet bisa jadi sasaran empuk buat para hacker.
Celah keamanan yang ditemukan di sistem Kia ini ngasih sinyal bahwa keamanan mobil terhubung ke internet masih perlu diperbaiki. Produsen mobil harus nyediain sistem keamanan yang lebih kuat buat melindungi mobil dari serangan cyber. Kalo enggak, mobil terhubung ke internet bakal jadi alat buat menghilangkan kenyamanan dan keamanan pengguna.
