Fiat Chrysler punya menarik kembali 1,4 juta Jeep terkena peretasan jarak jauh yang memungkinkan peneliti untuk mengontrol kendaraan dari jarak jauh saat sedang dikemudikan.
Lihat terkait
Meski hanya demonstrasi, peretasan tersebut memungkinkan Charlie Miller dan Chris Valasek mengakses fungsi mobil seperti akselerasi, kaca depan, dan radio, membuat pengemudi tidak berdaya.
Yang mengkhawatirkan, Miller dan Valasek mengatakan mereka dapat menargetkan ratusan mobil, dan akan memposting tutorial yang merinci peretasan bulan depan.
Apa yang dilakukan peretasan itu?
Miller dan Valasek mampu mengendalikan AC, radio, dan wiper kaca depan mobil Jeep Cherokee yang dikemudikan Kabel jurnalis Andy Greenberg. Peretas juga mengakses kontrol yang lebih vital seperti pedal gas dan rem – membuat Greenberg tidak berdaya pada kecepatan 70 mph di jalan raya.
“Saat saya mencoba mengatasi semua ini, gambar dua peretas yang melakukan aksi tersebut muncul di layar digital mobil,” tulis Greenberg. "Sentuhan yang bagus, saya pikir."
“Segera akselerator saya berhenti bekerja. Saat saya dengan panik menekan pedal dan melihat RPM naik, Jeep kehilangan setengah kecepatannya, lalu melambat menjadi merangkak.
Setelah menonaktifkan rem Jeep, para peretas membiarkan kendaraan meluncur ke selokan, dengan Greenberg masih di dalamnya.
Bagaimana mereka melakukannya?
Detail masih belum jelas tentang kerentanan yang digunakan Miller dan Vlasek. Namun, yang diketahui adalah mereka menggunakan sistem infotainment uConnect mobil sebagai titik masuk ke sistem lainnya. Dengan menargetkan alamat IP mobil, Miller dan Valasek dapat mengeksploitasi kerentanan untuk mendapatkan keuntungan kontrol nirkabel jaringan internal Jeep – atau CAN bus – dan kendalikan berbagai mobil fungsi.
Dikenal sebagai eksploitasi zero-day, metode ini tampaknya bekerja pada Jeep Cherokee yang diproduksi antara 2013-2015, tetapi berpotensi bekerja pada Chrysler lain yang dilengkapi dengan sistem uConnect. “Dari sudut pandang penyerang, ini adalah kerentanan yang sangat bagus,” kata Miller.
Apakah sistem infotainmen adalah surga bagi para peretas?
Ini bukan pertama kalinya Miller dan Valasek meretas sistem mobil: pada 2013 mereka merilis alat yang memberikan akses ke sistem di Toyota Prius 2010 dan Ford Escape 2010, meskipun dalam kasus ini peretasan memerlukan akses fisik ke port diagnostik di mobil.
Karena pabrikan mobil telah memasukkan lebih banyak teknologi ke dalam mobil mereka – mulai dari ponsel hingga aplikasi dan bahkan hotspot Wi-Fi – mereka juga harus bergulat dengan potensi peretasan dan kerentanan yang sama seperti yang dimiliki pembuat komputer bertahun-tahun. Dan meskipun undang-undang Inggris yang baru bersikeras bahwa mobil otonom harus memiliki sistem dalam mobil yang aman dan aman, hal yang sama tidak berlaku untuk mobil yang sudah ada di jalan kita.
Bagi para peretas, demonstrasi itu sebagian dilakukan untuk meningkatkan kesadaran akan masalah tersebut. “Jika konsumen tidak menyadari ini adalah masalah, mereka seharusnya, dan mereka harus mulai mengadu ke pembuat mobil,” kata Miller. “Ini mungkin jenis bug perangkat lunak yang paling mungkin membunuh seseorang.”
Melepaskan kode
Bulan depan, Miller dan Valasek akan membagikan lebih banyak detail tentang metode mereka di Las Vegas. konferensi keamanan Black Hat, tetapi akan mengabaikan aspek kunci peretasan untuk menghindari terulangnya insiden tersebut. Namun, pabrikan mobil telah menyarankan para peretas dapat memperburuk keadaan.
Sebuah pernyataan yang dikeluarkan oleh Chrysler berbunyi: “Kami menghargai kontribusi pendukung keamanan dunia maya untuk menambah pemahaman industri tentang potensi kerentanan. Namun, kami mengingatkan para advokat bahwa dalam mengejar peningkatan keselamatan publik, mereka [tidak], pada kenyataannya, membahayakan keselamatan publik.”
Meskipun peneliti keamanan mungkin bermaksud baik, kekhawatiran Chrysler benar adanya. Dalam upaya mereka untuk meningkatkan kesadaran akan masalah ini, Miller dan Valasek secara tidak sengaja memberikan permulaan kepada mereka yang ingin meniru peretasan mereka.
