Industri otomotif mengalami banyak transformasi dengan berfokus pada konektivitas untuk menerapkan proses integrasi. Berbagai produsen mobil menawarkan banyak fitur perangkat lunak pada konsumen. Kendaraan otonom juga semakin populer sehingga memerlukan perangkat lunak yang terintegrasi dan terkoneksi.
Perkembangan teknologi perangkat lunak yang menyertai otomotif menemui tantangan baru, yaitu perihal keamanan siber. Seperti yang Anda ketahui, konektivitas tak hanya mampu menyambungkan berbagai hal. Namun juga dapat membuka peluang masuknya hal buruk. Itulah mengapa tersedia perangkat lunak VPN untuk mengenkripsi konektivitas.
kehadiran mobil pintar tak lepas dari ancaman |
Peretas mulai mengeksploitasi kerentanan dalam perangkat keras dan lunak mobil sekitar tahun 2010. Meski menyerang perangkat kendaraan lebih sulit dibanding bank atau situs biasa, namun industri otomotif tetap menjadi target serangan seperti industri lainnya.
Para pemimpin industri pun memahami bahwa ancaman kejahatan dunia maya terhadap mobil bukanlah hal yang tidak masuk akal. Artikel kali ini akan menyoroti beberapa metode yang digunakan penjahat dunia maya untuk menyusupi infrastruktur mobil.
Vektor serangan pada otomotif
Kendaraan modern memiliki puluhan ribu komponen perangkat keras dan jutaan baris kode. Berikut ini adalah perantara yang menjadi target penyerangan oleh peretas untuk menyusupi sistem perangkat keras dan lunak mobil:
- CAN-BUS
Setelah penyerang berada di jaringan, mereka dapat dengan mudah mempelajari dan menganalisis perilaku jaringan dan memetakan berbagai jenis pesan. Pada CAN-BUS, tidak ada tanda pengenal yang dapat membedakan asal pesan. Ini memungkinkan penyerang untuk mengirim pesan dan mengidentifikasinya sebagai lalu lintas biasa. Selain memanipulasi hal tersebut, seorang peretas juga dapat melakukan serangan DDoS yang dapat menghancurkan ECU dan menghentikan fungsinya.
- Remote Keyless System (RKS)
RKS, RKE, dan RKI berfungsi sama seperti kunci mobil standar, tetapi tanpa kontak fisik. Metode serangan yang digunakan peretas untuk menyusupi RKS adalah menduplikasi atau meniru komunikasi antara kunci dan mobil. Kode untuk memasuki koneksi antara kunci dan mobil bahkan telah dijual bebas sehingga memudahkan peretas.
- Sistem TPMS
TPMS atau sistem pemantauan tekanan ban berfungsi memeriksa parameter kondisi ban mobil. Sistem ini menggunakan dua subsistem yaitu TPMS langsung dan tidak langsung. TPMS tidak langsung mengukur tekanan ban dengan menerima informasi dari berbagai sensor, salah satunya dari ABS. TPMS langsung mengukur tekanan ban dengan menggunakan sensor elektronik yang dipasang dalam setir, lalu kemudian melaporkan tekanan ke komputer kendaraan.
Pengukuran tekanan ban |
TPMS menggunakan komunikasi nirkabel sama seperti komponen mobil lainnya. Komunikasi ini bersifat internal. Meski begitu, pelindung logam di dalam mobil tidak menghalangi semua sinyal frekuensi radio. Sehingga apabila peretas berdiri 40 meter dari mobil, maka ia dapat membaca pesan TPMS dengan memanfaatkan antena.
- Aplikasi mobil
Telah banyak produsen yang menggabungkan Android, Apple atau sistem operasi lainnya ke dalam mobil mereka. Memang, hal tersebut dapat menimbulkan ketertarikan tersendiri bagi pembeli. Tetapi dengan meluasnya perkembangan ini, maka muncul banyak masalah keamanan terkait dengan sistem operasi. Termasuk komunikasi jarak jauh dengan melalui aplikasi. Komunikasi jarak jauh antara aplikasi dan mobil dapat ditransmisikan menggunakan Bluetooth, Wi-Fi, atau protokol nirkabel lainnya.
Penyerang dapat menggunakan vektor tersebut untuk menjalankan semua jenis tindakan pada mobil. Dari sebuah penelitian, para peneliti bahkan dapat mengambil aplikasi yang terhubung ke drive log, merekayasa balik, dan memetakan semua pesan CAN berbeda yang dikirim dari aplikasi sah. Mereka juga dapat mematikan mesin hanya dengan memanipulasi aplikasi. Berikut adalah beberapa perangkat yang mungkin diambil alih peretas melalui aplikasi mobil:
- Aplikasi berbahaya: penyerang dapat membuat aplikasi berbahaya yang meniru aslinya guna memberikannya akses sah untuk mengontrol kendaraan.
- Koneksi aplikasi awan: selain menggunakan layanan yang berjalan di dalam mobil, aplikasi juga mengirimkan kembali informasi ke server backend perusahaan. Pelanggaran yang terjadi pada server perusahaan memungkinkan peretas untuk memanipulasi informasi yang dikirim ke kendaraan.
- Menginfeksi perangkat seluler: seorang peretas dapat menginstal malware pada perangkat seluler pengemudi dan menggunakannya sebagai saluran untuk membuka aplikasi sah yang terhubung ke mobil. Infeksi ini dapat dilakukan dengan cara phising, aplikasi palsu, infeksi melalui kerentanan aplikasi, dan lain-lain.
- Pembajakan akun: peretas dapat membobol akun pengguna dengan memaksa kredensial mereka atau hanya dengan mengekstraknya dengan serangan phising.
- Spoofing GPS
Meski belum ada bukti nyata dari peretas yang menggunakan metode ini, tetapi spoofing GPS dapat menjadi ancaman di masa depan. Peneliti State University telah menemukan cara untuk memanipulasi aplikasi navigasi dengan mengirim pengemudi ke lokasi yang berbeda dari yang dimaksud.
- Serangan seluler
Banyak mobil telah dipasang SIM yang terhubung ke jaringan seluler. Parikan menggunakan koneksi ini untuk mengekstrak informasi real time dari mobil yang sedang bergerak atau dalam proses pembaruan firmware. Tahun 2015 lalu, Chris Valasek dan Charlie Miller berhasil meretas mobil melalui interaksi dengan jaringan seluler.
- Vektor serangan fisik
Serangan fisik terbatas pada port OBD dan USB. Port OBD memungkinkan peretas terhubung ke komputer OBD-II. Peneliti juga telah menemukan cara untuk memasukkan pesan CAN ke sistem CAN-BUS melalui port ODB.