Infomalangraya.com –
Subaru membiarkan kelemahan keamanan menganga yang, meskipun telah ditambal, mengungkap banyak sekali masalah privasi kendaraan modern. Peneliti keamanan Sam Curry dan Shubham Shah melaporkan temuan mereka (via Kabel) tentang portal web karyawan yang mudah diretas. Setelah mendapatkan akses, mereka dapat mengendalikan kendaraan uji dari jarak jauh dan melihat data lokasi selama satu tahun. Mereka memperingatkan bahwa Subaru tidak sendirian dalam lemahnya keamanan data kendaraan.
Setelah analis keamanan memberi tahu Subaru, perusahaan tersebut segera menambal eksploitasi tersebut. Untungnya, para peneliti mengatakan peretas yang kurang etis belum pernah melanggarnya sebelumnya. Namun mereka mengatakan karyawan resmi Subaru masih dapat mengakses riwayat lokasi pemilik hanya dengan satu informasi berikut: nama belakang pemilik, kode pos, alamat email, nomor telepon atau plat nomor.
Portal admin yang diretas adalah bagian dari rangkaian fitur konektivitas Starlink Subaru. (Tidak ada hubungannya dengan layanan internet satelit SpaceX dengan nama yang sama.) Curry dan Shah masuk dengan menemukan alamat email karyawan Subaru Starlink di LinkedIn dan mengatur ulang kata sandi pekerja tersebut setelah melewati dua pertanyaan keamanan yang diperlukan — karena ini terjadi di pengguna akhir browser web, bukan server Subaru. Mereka juga melewati autentikasi dua faktor dengan melakukan “hal paling sederhana yang dapat kami pikirkan: menghapus overlay sisi klien dari UI.”
Meskipun pengujian yang dilakukan para peneliti menelusuri lokasi kendaraan uji tersebut satu tahun yang lalu, mereka tidak dapat mengesampingkan kemungkinan bahwa karyawan resmi Subaru dapat mengintip lebih jauh lagi. Itu karena mobil uji (Subaru Impreza Curry 2023 yang dibelikan ibunya dengan syarat bisa diretas) baru digunakan sekitar itu. Data lokasi juga tidak digeneralisasikan ke suatu wilayah yang luas: Data tersebut akurat hingga kurang dari 17 kaki dan diperbarui setiap kali mesin dihidupkan.
“Setelah mencari dan menemukan kendaraan saya sendiri di dasbor, saya mengonfirmasi bahwa dasbor admin Starlink seharusnya memiliki akses ke hampir semua Subaru di Amerika Serikat, Kanada, dan Jepang,” tulis Curry. “Kami ingin memastikan bahwa tidak ada yang hilang, jadi kami menghubungi seorang teman dan bertanya apakah kami dapat meretas mobilnya untuk menunjukkan bahwa tidak ada prasyarat atau fitur yang sebenarnya dapat mencegah pengambilalihan kendaraan secara penuh. Dia mengirimi kami plat nomornya, kami menarik kendaraannya di panel admin, lalu akhirnya kami menambahkan diri kami ke mobilnya.”
Selain melacak lokasi mereka, portal admin memungkinkan para peneliti untuk memulai, menghentikan, mengunci, dan membuka kunci kendaraan Subaru yang terhubung dengan Starlink dari jarak jauh. Mereka mengatakan ibu Curry tidak pernah menerima pemberitahuan bahwa mereka telah menambahkan diri mereka sebagai pengguna resmi, juga tidak menerima peringatan ketika mereka membuka kunci mobilnya.
Mereka juga dapat menanyakan dan mengambil informasi pribadi pelanggan mana pun, termasuk kontak darurat, pengguna resmi, alamat rumah, empat digit terakhir kartu kredit, dan PIN kendaraan. Selain itu, mereka dapat mengakses riwayat panggilan dukungan pemilik dan pemilik kendaraan sebelumnya, pembacaan odometer, dan riwayat penjualan.
Dalam sebuah pernyataan kepada Engadget, Direktur Komunikasi Subaru Dominick Infante menulis, “Subaru of America, Inc. diberitahu oleh peneliti keamanan independen tentang kerentanan dalam layanan Starlink yang berpotensi memungkinkan pihak ketiga mengakses akun Starlink. Subaru menambal kerentanannya pada hari yang sama, dan tidak ada data kendaraan atau pelanggan Subaru yang diakses tanpa izin. Peneliti independen dapat mengakses dua akun milik anggota keluarga dan teman yang memberi mereka otorisasi untuk melakukannya.”
Subaru juga menekankan bahwa mobilnya tidak dapat dikendarai dari jarak jauh dan perusahaannya tidak menjual data lokasi. Dikatakan juga hanya karyawan tertentu yang dapat mengakses data lokasi pengemudi berdasarkan relevansi pekerjaan.
Para peneliti keamanan mengatakan kegagalan pelacakan dan keamanan – yang berasal dari kemampuan seorang karyawan untuk mengakses “banyak informasi pribadi” – bukanlah hal yang unik bagi Subaru. Kabel mencatat bahwa penelitian Curry dan Shah sebelumnya mengungkap kelemahan serupa yang mempengaruhi kendaraan dari Acura, Genesis, Honda, Hyundai, Infiniti, Kia, Toyota dan lain-lain.
Pasangan ini yakin ada alasan untuk kekhawatiran serius mengenai pelacakan lokasi industri dan langkah-langkah keamanan yang buruk. “Industri otomotif memiliki keunikan karena seorang karyawan berusia 18 tahun dari Texas dapat menanyakan informasi penagihan kendaraan di California, dan hal itu tidak akan menimbulkan peringatan apa pun,” tulis Curry. “Itu adalah bagian dari pekerjaan normal mereka sehari-hari. Semua karyawan memiliki akses ke banyak informasi pribadi, dan semuanya bergantung pada kepercayaan. Tampaknya sangat sulit untuk mengamankan sistem ini ketika akses luas seperti itu sudah tertanam dalam sistem secara default.”
Laporan lengkap para peneliti layak untuk dibaca.
Pembaruan, 24 Januari 2025, 13.07 ET: Cerita ini telah diperbarui untuk menambahkan pernyataan dari Subaru.
