Cyberthreat.id – Peneliti keamanan siber, Sky-Go, unit peretasan mobil di perusahaan keamaan siber asal China, Qihoo 360, menemukan belasan kerentanan pada Mercedes-Benz E-Class.

Kerentanan tersebut memungkinkan penyerang (hacker) membuka pintu dan menyalakan mesin mobil dari jarak jauh.

Temuan itu disampaikan Sky-Go dalam konferensi keamanan BlackHat 2020 yang digelar secara virtual karena pandemi Covid-19.

Seperti dikutip dari TechCrunch, diakses Jumat (7 Agustus 2020), meski keamanan kendaraan menjadi lebih baik selama setengah dekade terakhir, peneliti Sky-Go menunjukkan bahwa tidak satu pun model Mercedes-Benz terbaru yang tahan terhadap serangan.

Kebanyakan mobil modern dilengkapi dengan koneksi internet, memberi penumpang akses ke hiburan dalam mobil, navigasi dan petunjuk arah, dan lebih banyak stasiun radio daripada yang dapat Anda pilih.

Namun, menghubungkan mobil ke internet menempatkannya pada risiko serangan jarak jauh yang lebih besar. Ini pernah dicontohkan oleh peneliti keamanan Charlie Miller dan Chris Valasek ketika menaiki Jeep dan menghentikan mesin mobil dari jarak jauh pada 2015. Padahal, seorang reporter WIRED, kala itu berada di balik kemudi.

Kepala Tim Riset Sky-Go, Minrui Yan, mengatakan, 19 kerentanan keamanan tersebut saat ini telah diperbaiki, tapi dapat mempengaruhi sebanyak dua juta mobil Mercedez-Benz di China.

Sementara, juru bicara Mercedes Daimler, Katharina Becker, mengatakan, pada akhir tahun lalu keretanan tersebut telah diperbaiki dengan menerbitkan tambalan (patched). Namun, ia tak bisa memperkirakan seberapa banyak kendaraan yang terpengaruh atas kerentanan itu.

"Kami menangani semua temuan dan memperbaiki semua kerentanan yang dapat dieksploitasi sebelum kendaraan apa pun di pasar terpengaruh," kata juru bicara tersebut.

Inti dari penelitian ini adalah unit kontrol telematika E-Series, atau TCU, yang dikatakan Yan adalah komponen "paling penting" dari mobil, karena memungkinkan kendaraan untuk berkomunikasi dengan internet.

Dengan merusak sistem file TCU, para peneliti mendapatkan akses ke root shell – cara untuk menjalankan perintah dengan tingkat akses tertinggi ke internal kendaraan. Dengan akses root shell, para peneliti dapat membuka pintu mobil dari jarak jauh.

Sistem file TCU juga menyimpan rahasia mobil, seperti sandi dan sertifikat, yang melindungi kendaraan agar tidak diakses atau dimodifikasi tanpa izin yang tepat. Namun, para peneliti dapat mengekstrak kata sandi dari beberapa sertifikat untuk beberapa wilayah yang berbeda, termasuk Eropa dan China.

Dengan memperoleh sertifikat kendaraan dan kata sandi mereka, para peneliti dapat memperoleh akses mendalam ke jaringan internal kendaraan. Sertifikat mobil untuk wilayah China memiliki kata sandi yang lemah, kata Yan, membuatnya lebih mudah untuk membajak mobil yang rentan.

Peneliti mengatakan desain keamanan mobil itu sebetulnya tangguh dan mampu menahan sejumlah serangan, tetapi tidak cukup kuat. Namun, setidaknya dalam kasus Mercedes-Benz, mobilnya jauh lebih aman dibandingkan tahun lalu.

“Membuat setiap komponen back-end aman sepanjang waktu itu sulit. Tidak ada perusahaan yang bisa membuatnya sempurna,” ujar peneliti.[]

Redaktur: Andi Nugroho