Cyberthreat.id - Seorang peretas dan peneliti keamanan berusia 19 tahun mengatakan dia dapat mengontrol beberapa fitur dari lusinan mobil Tesla di seluruh dunia berkat kerentanan dalam aplikasi pihak ketiga yang memungkinkan pemilik mobil melacak pergerakan mobil mereka, membuka kunci pintu dari jarak jauh, membuka jendela, mulai mengemudi tanpa kunci, membunyikan klakson, dan lampu kilat.

David Colombo, peneliti yang menemukan masalah tersebut, menyampaikan temuannya itu kepada Motherboard  dan dipublikasikan pada Kamis, 13 Januari 2022 . Namun, ia meminta agar tidak semua detail temuannya  diungkap —seperti nama aplikasi pihak ketiga— mengingat beberapa kerentanan yang dia temukan belum diperbaiki.

“Ada Tesla di seluruh dunia saat ini di 13 negara dan saya dapat menonaktifkan mode penjaga, membuka kunci pintu, memulai mengemudi tanpa kunci, dan membawanya dalam perjalanan,” kata Colombo kepada Motherboard.

Yang terpenting, dia mengatakan dia tidak dapat mengontrol fungsi terpenting mobil dari jarak jauh, seperti kemudi, akselerasi, dan pengereman. Tapi dia masih bisa membuat kekacauan.

"Saya pikir itu juga dapat menyebabkan beberapa situasi yang berpotensi berbahaya di jalan, jika Anda seperti mengemudi di jalan raya, dan kemudian secara acak, seseorang mulai menyetel musik dengan volume maksimal atau hal-hal seperti ini," katanya.

Colombo menjelaskan bahwa selain mengontrol beberapa fungsi mobil, ia juga dapat melihat banyak data sensitif, seperti nama yang diberikan pemilik untuk Tesla mereka, lokasi saat ini, rute yang tepat yang diambil mobil di beberapa hari terakhir, kecepatan mobil, dan banyak lagi.

Colombo terkejut ketika pertama kali menemukan data itu.

"Saya bisa melihat di mana orang ini mengemudi," kata Colombo. "Saya seperti, ya, maaf, seharusnya saya tidak bisa melihat itu."

Kemudian dia berkata dia memindai internet untuk mencari lebih banyak contoh  dan menemukan lebih dari 125 Tesla di seluruh dunia, di negara-negara seperti Jerman, Belgia, Finlandia, Denmark, Inggris, AS, Kanada, dan Cina.

Jelas, risiko terbesar bagi seseorang untuk menyalahgunakan kerentanan adalah menemukan Tesla yang tepat, pergi ke lokasinya, dan membukanya melalui aplikasi open source pihak ketiga yang cacat.

Colombo mengatakan dia telah bekerja dengan pengelola aplikasi pihak ketiga untuk memperbaiki kekurangannya.

Motherboard mengatakan telah berupaya menghubungi Tesla, namun belum ada tanggapan atas  permintaan komentar yang dikirim ke beberapa alamat email, termasuk kotak masuk hubungan investor perusahaan, kotak masuk pers, dan satu untuk melaporkan kerentanan keamanan.

Colombo menekankan bahwa masalah yang dia temukan bukanlah kesalahan Tesla. Satu-satunya Tesla yang diekspos adalah mereka yang pemiliknya menggunakan aplikasi pihak ketiga tertentu.

Tanpa terlalu spesifik, inti masalahnya adalah aplikasi pihak ketiga berkomunikasi dengan Tesla untuk menarik data pemilik mobil melalui Application Programming Interface/API  perusahaan. Masalahnya adalah aplikasi pihak ketiga itu  memaparkan kunci API pribadi dari banyak pemilik ke internet, di mana semua orang yang tahu di mana mencarinya—seperti Kolombo—dapat menemukannya. []