Tangguh Yudha/MPI
IDXChannel - Aplikasi remote mobil yang diklaim lebih praktis, mampu bunyikan klakson dari jarak jauh, dan mempermudah mencari mobil di lokasi parkir nyatanya tidak seaman yang dikira selama ini. Para peneliti baru-baru ini juga telah melakukan uji langsung dan menemukan celah keamanannya.
Seperti dihimpun dari TechSpot pada Xenin (5/11/2023), sejumlah pakar menemukan celah untuk melakukan aktivitas seperti yang dilakukan pengguna tanpa memerlukan kredensial login mereka. Trik ini bahkan berhasil untuk banyak merek mobil.
Dikatakan bahwa peretasan bisa dilakukan di mobil Acura, Honda, Infiniti, Nissan, BMW Hyundai, Jaguar, Land Rover, Lexus, Subaru, dan Toyota. Ini karena semua merek mobil tersebut menggunakan penyedia telematika yang sama, yang sistemnya mudah dibobol.
Peneliti yang memproklamirkan diri sebagai bug hunter dan Insinyur Keamanan Staf untuk Yuga Labs Sam Curry menjelaskan dalam utas Twitter bahwa yang dia dan timnya butuhkan untuk mengakses profil pengemudi hanyalah nomor identifikasi kendaraan (VIN) mobil.
Kode ini sebenarnya berbeda-beda setiap mobilnya. Namun kode VIN mobil bisa dilihat dengan mudah di kabin penumpang. Hanya perlu berjalan kaki ke tempat parkir, mencari mobil yang diinginkan, dan menengok kode VIN di dasbor melalui kaca mobil.
Kemudian mereka akan menggunakan aplikasi seperti NissanConnect, MyHonda, dan sebagainya lalu melakukan peretasan melalui server SiriusXM. Kenapa SiriusXM? Ksrena aplikasi bekerja dengan berkomunikasi bersama domain yang dimiliki oleh SiriusXM, bukan dengan pabrikan mobil.
Para peneliti mengakses berbagai informasi pelanggan melalui HTTP, termasuk nama korban, nomor telepon, alamat, dan detail mobil. Menggunakan ini sebagai kerangka kerja, mereka membuat skrip python untuk mengakses detail pelanggan dari setiap VIN yang dimasukkan.
Lebih banyak uji coba dan peretasan yang dilakukan membuat Curry menemukan bahwa dia tidak hanya dapat melihat informasi akun tetapi juga menggunakan akses untuk mengirim permintaan perintah ke mobil.
