Peretas menemukan cara untuk membuka kunci, menyalakan mobil melalui kerentanan Sirius XM dan Hyundai

Seorang peretas topi putih — ini pada dasarnya adalah orang baik, peretas etis — bernama Sam Curry baru-baru ini terungkap beberapa kerentanan keamanan pada mobil baru yang memungkinkannya membuka kunci, menyalakan, menemukan, mem-flash, dan membunyikan klakson mobil baru dari jarak jauh dari berbagai produsen.

Kabar baiknya adalah eksploitasi yang ditemukan Curry, seorang insinyur keamanan di Yuga Labs, telah ditambal, dan setiap peretas yang tidak etis tidak akan dapat menggunakannya sekarang. Namun, itu tidak menghilangkan fakta bahwa celah keamanan sudah ada sebelumnya, menghadirkan risiko bagi mereka yang memiliki mobil yang berpotensi terkena dampak.

Peretasan Curry pertama yang dirinci – dia memposting langkah-langkah mendetail di Twitter – menggunakan kerentanan dalam layanan Kendaraan Terhubung Sirius XM. Ternyata, banyak OEM menggunakan layanan Kendaraan Terhubung Sirius XM untuk menyediakan layanan jarak jauh ke mobil mereka. Daftar pabrikan yang saat ini menggunakan sistem ini antara lain Acura, BMW, Honda, Hyundai, Infiniti, Jaguar, Land Rover, Lexus, Nissan, Subaru, dan Toyota. Dengan begitu banyak perusahaan di bawah satu atap, semakin penting bahwa atap tersebut aman, karena salah satu cara memungkinkan peretas mengakses beberapa perusahaan mobil sekaligus.

Jika Anda berbicara bahasa komputer dan keamanan online, kami sarankan Anda melihat melalui utas Twitter dari Curry tepat di atas. Untuk menyederhanakannya, semua yang dibutuhkan Curry untuk menjalankan perintah yang disebutkan di atas pada mobil yang menggunakan layanan Sirius XM Connected Vehicles adalah VIN mobil tersebut. Tentu saja, ini membutuhkan banyak pekerjaan untuk akhirnya sampai, jenis pekerjaan yang hanya mampu dilakukan oleh para ahli di bidang ini. Curry mengonfirmasi bahwa peretasannya bekerja pada kendaraan Honda, Acura, Infiniti, dan Nissan, tetapi menyarankan itu juga akan bekerja dengan pabrikan lain yang menggunakan layanan Kendaraan Terhubung Sirius XM juga.

Kami bertanya kepada Sirius tentang aktivitas peretasan ini, dan perusahaan mengirimkan pernyataan kepada kami sebagai balasannya:

“Kami menjaga keamanan akun pelanggan kami dengan serius dan berpartisipasi dalam program bug bounty untuk membantu mengidentifikasi dan memperbaiki kelemahan keamanan potensial yang berdampak pada platform kami. Sebagai bagian dari pekerjaan ini, seorang peneliti keamanan mengirimkan laporan ke Layanan Kendaraan Terhubung Sirius XM tentang cacat otorisasi yang berdampak pada program telematika tertentu. Masalah diselesaikan dalam waktu 24 jam setelah laporan dikirimkan. Tidak ada pelanggan atau data lain yang dikompromikan atau akun tidak sah yang dimodifikasi menggunakan metode ini.”

Untungnya, peretasan ini berasal dari sisi baik dunia peretasan. Selain itu, bagus untuk melihat bahwa Sirius menangani kelemahan keamanan dengan serius, lalu langsung bekerja untuk memperbaiki masalah tersebut untuk memastikannya tidak dapat ditiru oleh aktor jahat mana pun. Namun, meretas Sirius XM bukan satu-satunya eksploitasi terkait mobil yang ditangani Curry akhir-akhir ini. Aplikasi smartphone kendaraan Hyundai juga berada di bawah cakupan.

Alih-alih menyerang masalah dari payung yang lebih besar dengan layanan Sirius XM, Curry mengarahkan perhatiannya ke aplikasi kendaraan seluler Hyundai itu sendiri … dan dia menemukan jalan masuk. Kali ini, yang dibutuhkan Curry hanyalah alamat email pemilik kendaraan. Dengan informasi ini, Curry dapat menulis skrip yang akan membuka akses ke semua perintah kendaraan yang mungkin dapat dijalankan dari aplikasi smartphone Hyundai Anda. Secara khusus, ini bekerja pada model Hyundai dan Genesis yang dibuat dari tahun 2012 atau lebih baru. Contoh mobil yang digunakan Curry adalah generasi terbaru dari Hyundai Elantra. Curry dapat mengontrol kunci, mesin, klakson, lampu depan, dan bagasi dari jarak jauh. Mirip dengan eksploitasi Sirius XM, kami sarankan membaca utas Twitter di bawah ini untuk mendapatkan semua detail tentang bagaimana Curry meretas aplikasi

Kami bertanya kepada Hyundai tentang aktivitas peretasan ini dan menerima pernyataan perusahaan sebagai balasannya:

“Hyundai bekerja dengan rajin dengan konsultan pihak ketiga untuk menyelidiki dugaan kerentanan segera setelah para peneliti menyampaikannya kepada kami. Yang penting, selain kendaraan dan akun Hyundai milik para peneliti itu sendiri, penyelidikan kami menunjukkan bahwa tidak ada kendaraan atau akun pelanggan yang diakses oleh orang lain sebagai akibat dari masalah yang diangkat oleh para peneliti.

“Kami juga mencatat bahwa untuk menggunakan kerentanan yang diklaim, alamat email yang terkait dengan akun dan kendaraan Hyundai tertentu serta skrip web spesifik yang digunakan oleh para peneliti harus diketahui. Namun demikian, Hyundai menerapkan tindakan pencegahan dalam beberapa hari setelah pemberitahuan untuk lebih meningkatkan keselamatan dan keamanan sistem kami.

“Kami menghargai kerja sama kami dengan peneliti keamanan dan menghargai bantuan tim ini.”

Mirip dengan Sirius XM, Hyundai tampaknya telah menganggap serius kelemahan keamanan dan menambalnya untuk memastikan hal ini tidak dapat ditiru. Peretasan khusus Hyundai dan Sirius XM di sini adalah contoh perburuan hadiah bug yang bagus oleh aktor yang baik, tetapi mereka juga berfungsi sebagai contoh risiko yang kami hadapi dengan memiliki mobil yang terus-menerus terhubung ke internet. Kenyamanan untuk dapat mengunci mobil Anda dari setengah jalan di seluruh negeri memang bagus, tetapi penting untuk diingat bahwa jika ada sesuatu yang terhubung ke internet, itu dapat diretas. OEM mengetahui hal ini, dan mereka memperlakukan keamanan siber dengan sangat serius, tetapi ancaman pelaku kejahatan di luar sana masih tampak besar karena kendaraan kita semakin terkait dengan layanan online dan terhubung.

Leave a Reply

Your email address will not be published. Required fields are marked *