Waduh, Hacker Bisa Hidupkan Mesin Mobil Keyless Tanpa Pegang Kunci
loading...
Hacker mengungkap kelemahan mobil keyless, bisa hidupkan mesin tanpa harus memegang kunci. Foto: ist
A
A
A
JAKARTA - Seorang hacker bernama Sam Curry baru-baru ini mengungkapkan adanya kerentanan keamanan pada teknologi mobil keyless dan merinci prosesnya dalam serangkaian cuitan di Twitter.
Dilansir dari CarScoops, masalah tersebut akibat adanya bugs dalam sistem Sirius XM yang tertanam pada perangkat hiburan beberapa merek mobil seperti Honda, Nissan, Infiniti, dan Acura.
Masalah infrastruktur pada Sirius XM memungkinkan peretas mengendalikan mobil dari jarak jauh seperti membuka kunci, menghidupkan mesin, menyalakan lampu, membunyikan klakson, membuka bagas, serta mengakses info pelanggan yang sensitif. Mulai dari nama pemilik, nomor telepon, alamat, dan rincian kendaraan.
Setelah menemukan sejumlah kerentanan yang memengaruhi berbagai perusahaan mobil, Curry dan timnya mulai mencari layanan yang menyediakan layanan telematika untuk mereka semua.
Ditemukan bahwa SiriusXM digunakan di semua kendaraan yang terpengaruh dan kemudian ditentukan melalui penggunaan aplikasi NissanConnect yang memungkinkan untuk memeriksa dan memodifikasi kode HTTP.
Ditemukan bahwa SiriusXM menggunakan VIN kendaraan untuk mengotorisasi perintah dan mengambil profil pengguna.
Peretas dapat menjalankan perintah kendaraan hanya dengan mengetahui VIN mobil.
Segera setelah menemukan kerentanan, Curry dan timnya melaporkan masalah tersebut ke SiriusXM yang dengan cepat memperbaiki kelemahan tersebut sebelum merugikan pemilik kendaraan tersebut.
“Kami menganggap serius keamanan akun pelanggan kami dan menggelar program hadiah untuk membantu mengidentifikasi dan memperbaiki potensi kelemahan keamanan yang memengaruhi platform kami,” kata juru bicara Sirius XM Connect Vehicle Services kepada The Register seperti dikutip dari CarScoops.
“Masalah diselesaikan dalam waktu 24 jam setelah laporan dikirimkan. Tidak ada pelanggan atau data lain yang dikompromikan atau akun tidak sah yang dimodifikasi menggunakan metode ini,” tambahnya.
Sam Curry mengungkapkan bahwa pabrikan mobil telah mengizinkan pemilik untuk mengautentikasi data melalui aplikasi seluler, seperti aplikasi Nissan Connected dan aplikasi MyHonda.
“Setelah pelanggan masuk ke akun mereka dan akun mereka memiliki nomor VIN yang terkait dengannya, mereka dapat mengakses saluran tempat mereka dapat menjalankan perintah dan menerima data (misalnya lokasi, kecepatan, dll) dari kendaraan mereka,” kata CurrykepadaGizmodo.
Dilansir dari CarScoops, masalah tersebut akibat adanya bugs dalam sistem Sirius XM yang tertanam pada perangkat hiburan beberapa merek mobil seperti Honda, Nissan, Infiniti, dan Acura.
Masalah infrastruktur pada Sirius XM memungkinkan peretas mengendalikan mobil dari jarak jauh seperti membuka kunci, menghidupkan mesin, menyalakan lampu, membunyikan klakson, membuka bagas, serta mengakses info pelanggan yang sensitif. Mulai dari nama pemilik, nomor telepon, alamat, dan rincian kendaraan.
Setelah menemukan sejumlah kerentanan yang memengaruhi berbagai perusahaan mobil, Curry dan timnya mulai mencari layanan yang menyediakan layanan telematika untuk mereka semua.
Ditemukan bahwa SiriusXM digunakan di semua kendaraan yang terpengaruh dan kemudian ditentukan melalui penggunaan aplikasi NissanConnect yang memungkinkan untuk memeriksa dan memodifikasi kode HTTP.
Ditemukan bahwa SiriusXM menggunakan VIN kendaraan untuk mengotorisasi perintah dan mengambil profil pengguna.
Peretas dapat menjalankan perintah kendaraan hanya dengan mengetahui VIN mobil.
Segera setelah menemukan kerentanan, Curry dan timnya melaporkan masalah tersebut ke SiriusXM yang dengan cepat memperbaiki kelemahan tersebut sebelum merugikan pemilik kendaraan tersebut.
“Kami menganggap serius keamanan akun pelanggan kami dan menggelar program hadiah untuk membantu mengidentifikasi dan memperbaiki potensi kelemahan keamanan yang memengaruhi platform kami,” kata juru bicara Sirius XM Connect Vehicle Services kepada The Register seperti dikutip dari CarScoops.
“Masalah diselesaikan dalam waktu 24 jam setelah laporan dikirimkan. Tidak ada pelanggan atau data lain yang dikompromikan atau akun tidak sah yang dimodifikasi menggunakan metode ini,” tambahnya.
Sam Curry mengungkapkan bahwa pabrikan mobil telah mengizinkan pemilik untuk mengautentikasi data melalui aplikasi seluler, seperti aplikasi Nissan Connected dan aplikasi MyHonda.
“Setelah pelanggan masuk ke akun mereka dan akun mereka memiliki nomor VIN yang terkait dengannya, mereka dapat mengakses saluran tempat mereka dapat menjalankan perintah dan menerima data (misalnya lokasi, kecepatan, dll) dari kendaraan mereka,” kata CurrykepadaGizmodo.
(dan)
Lihat Juga :
