Hacker Kendalikan Mobil Kia dari Jarak Jauh Hanya Lewat Pelat

Sebuah celah keamanan baru pada kendaraan Kia telah ditemukan, yang memungkinkan penyerang mengambil kendali atas fungsi-fungsi penting mobil hanya dengan menggunakan pelat nomor. Kelemahan ini, yang telah diperbaiki oleh Kia, berpotensi dieksploitasi dalam waktu sekitar 30 detik pada kendaraan yang menggunakan perangkat keras tertentu, bahkan jika mobil tersebut tidak memiliki layanan Kia Connect yang aktif.

Peneliti keamanan siber, Sam Curry, melaporkan temuan ini pada 29 September 2024, dan mengungkapkan bahwa peretas bisa mengakses data pribadi pemilik mobil serta menambahkan akun peretas sebagai pengguna kedua kendaraan tanpa sepengetahuan pemilik aslinya.

Menurut laporan tersebut, celah keamanan ini berawal dari proses registrasi kendaraan yang dilakukan oleh dealer Kia. Saat pemilik baru memberikan alamat email mereka, dealer menggunakannya untuk mengirimkan tautan pendaftaran kepada pemilik, yang memungkinkan mereka membuat akun Kia baru atau menambahkan kendaraan ke akun yang sudah ada. Di balik proses ini, sebuah token akses bernama VIN Key dihasilkan oleh dealer, yang pada akhirnya membuka celah bagi peretas.

Peneliti Sam Curry dan timnya memanfaatkan token dealer serta nomor VIN (Vehicle Identification Number) untuk mengirim permintaan HTTP ke sistem Kia. Permintaan ini menghasilkan informasi pribadi pemilik mobil, termasuk nama, email, dan nomor telepon. Dengan memanfaatkan data ini, penyerang bisa mendapatkan akses penuh ke kendaraan, mengubah pengaturan akses, dan bahkan menambahkan akun baru sebagai pengguna kendaraan tanpa sepengetahuan pemilik asli.

Langkah-langkah serangan ini diuraikan sebagai berikut:

1. Penyerang pertama-tama menghasilkan token dealer menggunakan nomor VIN yang bocor.
2. Setelah itu, mereka mendapatkan informasi pribadi pemilik kendaraan melalui tanggapan HTTP yang diberikan oleh sistem Kia.
3. Dengan memanfaatkan data email dan nomor VIN, penyerang kemudian mengubah akses kepemilikan kendaraan.
4. Penyerang dapat menambahkan diri mereka sebagai pemilik baru kendaraan, sehingga dapat mengendalikan fungsi-fungsi mobil seperti membuka kunci pintu, menyalakan mesin, dan bahkan membunyikan klakson.

Lebih mengkhawatirkan lagi, serangan ini dapat dilakukan secara diam-diam hanya dengan melacak pelat nomor kendaraan target. Dengan memanfaatkan Application Programming Interface (API) yang ada, penyerang bisa mendapatkan VIN kendaraan dan memanfaatkannya untuk memberikan perintah aktif ke kendaraan korban, tanpa memerlukan kehadiran fisik di dekat mobil.

Curry menjelaskan bahwa serangan ini sangat serius, karena pengguna tidak diberi tahu jika akses kendaraan mereka telah diambil alih atau jika izin akses telah diubah. Kondisi ini membuat pemilik kendaraan tidak sadar bahwa kendali mobil mereka telah jatuh ke tangan orang lain. Walaupun demikian, Kia telah bertindak cepat dalam menangani masalah ini. Tim peneliti melaporkan temuan mereka kepada Kia pada 11 Juni 2024, dan Kia menyelesaikan perbaikan atas celah ini pada 14 Agustus 2024. Pihak Kia juga memastikan bahwa celah ini tidak pernah digunakan untuk serangan jahat sebelum diperbaiki.

Meskipun celah ini telah ditambal, ahli keamanan siber memperingatkan bahwa mobil yang semakin terhubung dengan internet akan terus rentan terhadap serangan seperti ini di masa depan. Mobil modern yang dilengkapi dengan perangkat lunak canggih, termasuk sistem konektivitas seperti Kia Connect, berpotensi menghadirkan ancaman baru jika keamanan tidak diperkuat secara berkelanjutan. Peretasan kendaraan melalui celah perangkat lunak bukan hal baru, dan tren ini diyakini akan terus berkembang, mengingat semakin banyaknya komponen mobil yang dikendalikan oleh perangkat lunak dan sistem online.

Para ahli juga menekankan pentingnya industri otomotif untuk terus meningkatkan protokol keamanan mereka dan memperbarui sistem kendaraan secara berkala untuk melindungi dari serangan siber. Kasus ini menunjukkan bahwa kelemahan pada kendaraan yang terhubung dengan internet bisa menyebabkan peretas mengambil alih kendali mobil dari jarak jauh, mirip dengan bagaimana akun media sosial bisa diambil alih melalui serangan hacking.

Dengan semakin terhubungnya kendaraan modern ke jaringan internet, keamanan siber harus menjadi prioritas utama bagi produsen mobil dan pemilik kendaraan. Langkah-langkah pencegahan seperti pembaruan perangkat lunak secara rutin dan enkripsi data komunikasi antara kendaraan dan server pabrikan sangat diperlukan untuk mencegah serangan yang berpotensi merugikan seperti ini.