Cyberthreat.id – Kerentanan dalam aplikasi seluler membuat model mobil Hyundai dan Genesis setelah 2012 terkena serangan jarak jauh yang memungkinkan membuka kunci dan bahkan menyalakan kendaraan.

Peneliti keamanan di Yuga Labs menemukan masalah dan menjelajahi permukaan serangan serupa di platform "kendaraan pintar" SiriusXM yang digunakan di mobil dari pembuat lain (Toyota, Honda, FCA, Nissan, Acura, dan Infinity) yang memungkinkan mereka untuk "membuka kunci, memulai dari jarak jauh, cari, flash, dan membunyikan klaksonnya.

“Saat ini, para peneliti belum menerbitkan tulisan teknis terperinci untuk temuan mereka tetapi membagikan beberapa informasi di Twitter, dalam dua utas terpisah (Hyundai, SiriusXM),” tulis Bleeping Computer, Jumat (2/12).

Masalah Hyundai

Aplikasi seluler Hyundai dan Genesis, bernama MyHyundai dan MyGenesis, memungkinkan pengguna yang diautentikasi untuk memulai, menghentikan, mengunci, dan membuka kunci kendaraan mereka.

Setelah mencegat lalu lintas yang dihasilkan dari kedua aplikasi tersebut, para peneliti menganalisisnya dan dapat mengekstraksi panggilan API untuk penyelidikan lebih lanjut.

Mereka menemukan bahwa validasi pemilik dilakukan berdasarkan alamat email pengguna, yang disertakan dalam badan permintaan POST JSON.

Selanjutnya, para analis menemukan bahwa MyHyundai tidak memerlukan konfirmasi email saat pendaftaran. Mereka membuat akun baru menggunakan alamat email target dengan karakter kontrol tambahan di bagian akhir.

Terakhir, mereka mengirim permintaan HTTP ke titik akhir Hyundai yang berisi alamat palsu di token JSON dan alamat korban di badan JSON, melewati pemeriksaan validitas.

Untuk memverifikasi bahwa mereka dapat menggunakan akses ini untuk menyerang mobil, mereka mencoba membuka kunci mobil Hyundai yang digunakan untuk penelitian. Beberapa detik kemudian, kunci mobil terbuka.

Serangan multi-langkah akhirnya dimasukkan ke dalam skrip Python khusus, yang hanya membutuhkan alamat email target untuk serangan itu.

Masalah SiriusXM

SiriusXM, antara lain, adalah penyedia layanan telematika kendaraan yang digunakan oleh lebih dari 15 produsen mobil. Vendor tersebut mengklaim mengoperasikan 12 juta mobil terhubung yang menjalankan lebih dari 50 layanan di bawah platform terpadu.

Analis Yuga Labs menemukan bahwa aplikasi seluler untuk Acura, BMW, Honda, Hyundai, Infiniti, Jaguar, Land Rover, Lexus, Nissan, Subaru, dan Toyota, menggunakan teknologi SiriusXM untuk mengimplementasikan fitur manajemen kendaraan jarak jauh.

Mereka memeriksa lalu lintas jaringan dari aplikasi Nissan dan menemukan bahwa mengirim permintaan HTTP palsu ke titik akhir hanya dapat dilakukan dengan mengetahui nomor identifikasi kendaraan (VIN) target.

Tanggapan atas permintaan tidak sah berisi nama, nomor telepon, alamat, dan detail kendaraan target.

Mempertimbangkan bahwa VIN mudah ditemukan di mobil yang diparkir, biasanya terlihat di pelat tempat dasbor bertemu dengan kaca depan, penyerang dapat dengan mudah mengaksesnya. Nomor identifikasi ini juga tersedia di situs penjualan mobil khusus, agar calon pembeli dapat memeriksa riwayat kendaraan.

Selain pengungkapan informasi, permintaan juga dapat membawa perintah untuk melakukan tindakan pada mobil.

Sebelum memposting detailnya, Yuga Labs memberi tahu Hyundai dan SiriusXM tentang kekurangan dan risiko terkait. Kedua vendor telah memperbaiki kerentanan.