Pembajakan akun pengguna alarm pintar dapat berbuntut jebolnya sistem keamanan cerdas mobil Anda. Para peneliti Pen Test Partners telah membuktikannya.
Relay attack terhadap kendaraan yang memiliki fitur keyless entry mulai banyak kita dengar. Banyak vendor alarm mobil pihak ke-3 menawarkan solusi untuk mengatasi hal tersebut. Namun apakah kecanggihan alarm dapat menjamin keamanan?
Spesialis keamanan informasi di Pen Test Partners melakukan uji pembajakan mobil dengan meretas sistem alarmnya. Dan sistem alarm yang diuji retas adalah Pandora dan Viper SmartStart, sistem yang cukup banyak digunakan. Para peneliti memperkirakan ada sekitar tiga juta mobil telah dipasangi sistem alarm tersebut.
Secara teori, sistem anti pencurian cerdas adalah lebih dari sekadar alarm. Sistem semacam itu dapat membantu bahkan saat kendaraan telah dicuri. Misalnya, sistem dapat melacak, mematikan mesin, dan mengunci pintu sebelum polisi tiba. Semua kecanggihan tersebut dapat dilakukan melalui aplikasi di ponsel pintar Anda. Mudah bukan? Jawabannya tentu ya, lalu apakah aman? Seperti yang beruang kali diklaim setiap pihak pabrik, bahwa sistem tersebut memang dirancang untuk meningkatkan keamanan mobil.
Namun masalahnya, sekarang ini bukan hanya mobil Anda yang mungkin dicuri. Setelah membajak akun dan masuk ke aplikasi atas nama Anda, seorang pelaku kejahatan siber mendapatkan akses ke banyak data dan semua fungsi alarm pintar.
Perubahan sederhana pada kata sandi memungkinkan penjahat siber mengambil alih sistem kendraan dari tangan Anda. Si penjahat pun dapat melakukan hal-hal berikut:
- melacak semua pergerakan kendaraan
- mengaktifkan dan menonaktifkan sistem alarm
- mengunci dan membuka kunci pintu mobil
- mengaktifkan dan menonaktifkan immobilizer (sistem enkripsi elektronik untuk menjaga agar hanya kunci asli yang dapat menyalakn mesin)
- merusak mesin, dalam beberapa kasus bahkan pada saat mobil sedang bergerak.
Dalam kasus sistem alarm Pandora, pelaku kejahatan siber juga dapat menguping pembicaraan di dalam kendaraan melalui mikrofon sistem antipencurian, yang ditujukan untuk panggilan darurat. Ingatlah bahwa Anda tidak dapat melawan, karena hanya mereka yang memiliki akses menuju sistem. Terdengar mengerikan ya?
Pembajakan Dalam Hitungan Detik
Tim peneliti Pen Test Partners juga menemukan bahwa membajak akun pengguna alarm pintar tidak hanya mungkin, tetapi juga tidak sulit. Untuk mencuri akun Viper atau Pandora, tidak perlu membeli alarm sendiri (yang cukup mahal, dengan harga sekitar US$5.000). Pada saat pengujian berlangsung, yang harus dilakukan seseorang untuk mendapatkan akses ke sistem adalah mendaftarkan akun di situs web atau di aplikasi dan menggunakannya untuk mendapatkan akses ke akun lainnya.
Masalah pada kedua vendor sistem terlihat serupa, berkaitan dengan bagaimana aplikasi berinteraksi dengan server. Namun mekanisme serangannya sedikit berbeda. Dalam kasus Viper, pelaku kejahatan siber dapat mengubah kredensial pengguna dengan mengirimkan permintaan khusus ke server tempat penyimpanan data.
Sistem Pandora sedikit lebih cerdas karena tidak mengizinkan sembarang orang mengatur ulang kata sandi. Namun, pelaku kejahatan siber dapat mengubah alamat surel yang ditautkan ke profil tanpa otorisasi, dan kemudian menggunakannya untuk secara sah (dari sudut pandang sistem) meminta pengaturan ulang kata sandi.
Namun Anda tidak perlu panik berlebihan. Para peneliti, tentu saja, sudah memberi tahu produsen tentang temuan mereka. Pihak pabrik juga bereaksi dengan cepat dan menutup semua celah hanya dalam beberapa hari.
Sebelum penelitian ini dilakukan, kendaraan dengan sistem alarm cerdas memang lebih rentan terhadap serangan. Dan belum tentu semua pengembang IoT menanggapi rekomendasi pakar keamanan siber dengan kecepatan dan efisiensi yang sama. Maka, saran yang akan selalu Kaspersky Lab berikan adalah tetap berhati-hati tentang solusi cerdas, terutama jika sistem keamanan berperan penting di dalamnya.