Awas, modus peretasan sistem alarm mobil

JAKARTA (IndoTelko) - Serangan relai kunci terhadap kendaraan tanpa kunci sudah mulai banyak dikenal. Banyak vendor alarm mobil pihak ke-3 memasarkan diri mereka sebagai solusi untuk ini. Namun apakah kecanggihan tersebut dapat menjamin keamanan? 

Spesialis keamanan informasi di Pen Test Partners telah melakukan pengujian dengan membajak sebuah mobil menggunakan alarmnya. Terlebih lagi, sistem keamanan yang diretas adalah Pandora dan Viper SmartStart - yang banyak digunakan. Para peneliti memperkirakan bahwa terdapat sekitar 3 juta mobil telah menginstalasi sistem alarmnya dengan vendor tersebut.

Nyaman, Tetapi Apakah Mereka aman?

Secara teori, sistem anti pencurian yang cerdas adalah lebih dari sekadar alarm. Mereka dapat membantu bahkan saat kendaraan telah dicuri. Misalnya, mereka dapat melacaknya, mematikan mesin, dan mengunci pintu sebelum polisi tiba. Semua kecanggihan tersebut dapat dilakukan melalui aplikasi di ponsel pintar Anda. Mudah bukan? Jawabannya tentu ya, lalu apakah aman? Seperti yang beruang kali diklaim setiap pihak pabrik, bahwa sistem tersebut memangh dirancang untuk meningkatkan keamanan mobil.

Namun sekarang bukan hanya mobil Anda yang mungkin dicuri.

Setelah membajak akun dan masuk ke aplikasi atas nama Anda, seorang pelaku kejahatan siber mendapatkan akses ke banyak data dan semua fungsi alarm pintar. Perubahan kata sandi yang sederhana akan mengunci Anda keluar dari sistem, dan inilah yang dapat dilakukan ara pelaku kejahatan siber:

1. Melacak semua pergerakan kendaraan,
2. Mengaktifkan dan menonaktifkan sistem alarm,
3. Mengunci dan membuka kunci pintu mobil,
4. Mengaktifkan dan menonaktifkan immobilizer, alat antipencurian yang mencegah mesin memulai,
5. Merusak mesin, dalam beberapa kasus bahkan saat mobil sedang bergerak.

Dalam kasus sistem alarm Pandora, pelaku kejahatan siber juga dapat menguping pembicaraan di dalam kendaraan melalui mikrofon sistem antipencurian, yang ditujukan untuk panggilan darurat. Ingatlah bahwa Anda tidak dapat melawan, karena hanya mereka yang memiliki akses menuju sistem. Terdengar mengerikan bukan?

Pembajakan Cerdas  
Tim peneliti Pen Test Partners juga menemukan bahwa membajak akun pengguna alarm pintar tidak hanya mungkin, tetapi juga tidak sulit. Untuk mencuri akun Viper atau Pandora, tidak perlu membeli alarm sendiri (yang cukup mahal sekitar US$5 ribu). 

Pada saat pengujian berlangsung, yang harus dilakukan seseorang untuk mendapatkan akses ke sistem adalah mendaftarkan akun di situs web atau di aplikasi dan menggunakannya untuk mendapatkan akses ke akun lainnya.

Masalah pada kedua vendor sistem terlihat serupa, berkaitan dengan bagaimana aplikasi berinteraksi dengan server. Namun, mekanisme serangannya yang sedikit berbeda. Dalam kasus Viper, pelaku kejahatan siber dapat mengubah kredensial pengguna dengan mengirimkan permintaan khusus ke server tempat data disimpan. Sedangkan pada sistem Pandora sedikit lebih cerdas karena tidak mengizinkan sembarang orang mereset kata sandi; namun, pelaku kejahatan siber dapat mengubah alamat email yang ditautkan ke profil tanpa otorisasi, dan kemudian menggunakannya untuk secara sah (dari sudut pandang sistem) meminta pengaturan ulang kata sandi.

Untuk menghindari kemungkinan peretasan pada sistem alarm kendaraan Anda, berikut rekomendasi Kaspersky Lab. Pertama, jangan panik. Para peneliti, tentu saja, memberi tahu produsen tentang temuan mereka. Pihak pabrik juga bereaksi dengan cepat dan menutup semua celah hanya dalam beberapa hari.

Tetapi sebelum penelitian dilakukan, kendaraan dengan alarm pintar memiliki efek kurang aman daripada yang tidak. Selain itu, tidak berarti semua pengembang IoT menanggapi rekomendasi pakar keamanan siber dengan kecepatan dan efisiensi yang sama. Maka, saran yang akan selalu Kaspersky Lab berikan adalah tetap berhati-hati tentang solusi cerdas, terutama jika sistem keamanan yang menjadi peran terpenting di dalamnya.(pg)