INILAHCOM, Jakarta - Para ahli Kaspersky Lab telah memeriksa sejumlah aplikasi yang digunakan sebagai pengendali jarak jauh kendaraan dari berbagai perusahaan otomotif ternama, dan hasilnya cukup mengejutkan.
Dalam siaran pers kepada INILAHCOM, para ahli Kaspersky Lab melaporkan bahwa mereka berhasil menemukan seluruh aplikasi terindikasi memiliki sejumlah isu keamanan yang berpotensi memperkenankan penjahat cyber untuk membahayakan pemilik dari connected cars atau mobil terkoneksi tersebut.
Selama beberapa tahun terakhir, sejumlah mobil sudah mulai aktif terhubung ke internet. Konektivitas ini tak hanya sebatas sistem infotainment saja, tetapi juga sistem kendaraan yang penting, seperti kunci pintu dan kunci kontak, yang sekarang dapat diakses secara online.
Dengan bantuan aplikasi mobile, sekarang mungkin untuk mendapatkan koordinat lokasi kendaraan serta rutenya, dan membuka pintu, menyalakan mesin dan mengontrol perangkat tambahan dalam mobil.
Di satu sisi, fungsi-fungsi ini sangat berguna. Namun, di sisi lain kita patut bertanya, bagaimana para produsen otomotif mengamankan aplikasi ini dari risiko serangan cyber?
Untuk mengetahui persoalan keamanan ini, para ahli Kaspersky Lab telah menguji tujuh buah aplikasi pengendali jarak jauh kendaraan yang dikeluarkan oleh sejumlah produsen otomotif ternama, dimana menurut data dari Google Play Store, telah diunduh puluhan ribu kali, dan dalam beberapa kasus dapat mencapai hingga lima juta kali.
Hasil penelitian ini mengungkapkan bahwa setiap aplikasi yang telah diuji coba terindikasi memiliki sejumlah isu keamanan.
Daftar dari permasalahan keamanan yang berhasil ditemukan meliputi:
- Tidak adanya sistem pertahanan terhadap aplikasi reverse engineering. Akibatnya, pengguna dapat memahami bagaimana aplikasi tersebut bekerja dan menemukan kerawanan yang memungkinkan mereka untuk mengakses dari infrastruktur server atau dari sistem multimedia yang ada di mobil.
- Tidak ada pengecekan keaslian kode, hal ini sangatlah penting karena hal tersebut sangat memungkinkan para pelaku kriminal untuk memasukan kode milik mereka sendiri kedalam aplikasi pengguna dan mengganti program aplikasi yang asli dengan yang palsu.
- Tidak adanya teknik pendeteksi 'rooting'. Hak untuk melakukan 'root' memungkinkan virus Trojan dapat melakukan segala sesuatu dan meninggalkan aplikasi tanpa sistem pertahanan apapun.
- Kurangnya perlindungan terhadap teknik app overlaying. Hal ini membantu aplikasi berbahaya untuk menunjukkan celah phishing dan mencuri kredensial pengguna.
- Penyimpanan login dan password dalam teks biasa. Dengan menggunakan kelemahan ini, penjahat cyber dapat mencuri data pengguna dengan mudah.
Setelah eksploitasi sukses, penyerang dapat mengontrol mobil, membuka pintu, mematikan alarm keamanan dan, secara teoritis, mencuri kendaraan.
Dalam setiap kasus, vektor serangan membutuhkan beberapa persiapan tambahan, seperti memikat pemilik aplikasi untuk menginstal aplikasi berbahaya yang dibuat khusus kemudian melakukan root terhadap perangkat dan mendapatkan akses ke aplikasi mobil.
Namun, sama seperti hasil penelitian yang dilakukan oleh ahli Kaspersky Lab terhadap beberapa aplikasi berbahaya lainnya yang menargetkan kredensial perbankan online dan informasi penting lainnya, maka tidak menjadi suatu permasalahan bagi penjahat cyber yang berpengalaman dalam teknik social engineering, apabila mereka memutuskan untuk menyerang pemilik mobil terkoneksi tersebut.
"Kesimpulan utama dari penelitian kami ini adalah, dalam keadaan saat ini, aplikasi untuk mobil terkoneksi tidak siap untuk menahan serangan malware. Memperhitungkan sisi keamanan dari mobil terkoneksi, maka pemilik sebaiknya tak hanya mempertimbangkan keamanan dari server infrastruktur saja," ungkap Victor Chebyshev, ahli keamanan di Kaspersky Lab.
Menurutnya, Kaspersky Lab menduga bahwa produsen otomotif pastinya akan melalui tantangan yang sama seperti yang telah dilalui oleh pihak perbankan ketika harus berurusan dengan aplikasi mereka.
Awalnya, lanjut Chebyshev, aplikasi untuk perbankan online tidak memiliki semua fitur keamanan yang terdaftar dalam penelitian mereka. Namun sekarang, setelah terjadi beberapa kasus serangan terhadap aplikasi perbankan, banyak bank telah meningkatkan keamanan produk mereka.
"Untungnya, kami belum mendeteksi adanya kasus serangan serupa terhadap aplikasi mobil, yang berarti bahwa vendor otomotif masih memiliki waktu untuk melakukan hal yang benar," kata Chebyshev.
"Berapa banyak waktu yang mereka miliki sebenarnya tidak diketahui. Trojan modern sangat fleksibel, suatu waktu mereka bisa bertindak seperti adware normal, namun di hari berikutnya mereka dapat dengan mudah mengunduh konfigurasi baru sehingga memungkinkan untuk menargetkan aplikasi baru. Jumlah serangan akan benar-benar sangat besar dalam hal ini," imbuhnya.
Peneliti Kaspersky Lab pun menyarankan pengguna aplikasi mobil yang terkoneksi untuk mengikuti langkah-langkah berikut ini untuk melindungi mobil dan data-data pribadi mereka dari serangan cyber yang mungkin terjadi:
- Jangan melakukan 'root' pada perangkat Android Anda karena hal ini akan memberikan kesempatan untuk melakukan aksi yang tak terbatas bagi aplikasi berbahaya.
- Nonaktifkan kemampuan untuk menginstal aplikasi dari sumber selain toko aplikasi resmi.
- Lakukan pembaharuan dari versi OS perangkat Anda untuk mengurangi kerentanan dalam perangkat lunak dan menurunkan resiko serangan.
- Memasang solusi keamanan yang sudah terbukti untuk melindungi perangkat Anda dari serangan cyber.
Untuk mempelajari lebih lanjut tentang ancaman mobil terkoneksi, silakan baca postingan blog yang tersedia di tautan berikut ini.
Tidak ada komentar:
Posting Komentar