Sebuah celah keamanan yang ditemukan pada beberapa model mobil Subaru mengungkapkan potensi kerentanan yang memungkinkan pihak yang tidak bertanggung jawab untuk mengendalikan mobil tersebut melalui internet tanpa sepengetahuan pemiliknya. Peneliti keamanan Sam Curry mengidentifikasi masalah ini pada sistem Starlink yang terintegrasi dengan mobil Subaru, yang memberikan akses kepada pelaku kejahatan untuk memperoleh informasi pribadi pengemudi serta mengakses kendali atas kendaraan tersebut.
Dikutip Autoevolution, Senin (27/1/2025), celah keamanan ini memanfaatkan eksploitasi bertahap yang dimulai dengan seorang hacker yang berhasil masuk ke jaringan Starlink. Peneliti menemukan bahwa mereka dapat mengakses sistem melalui halaman login karyawan Subaru, yang kemudian membuka celah bagi peretasan lebih lanjut.
Celah ini memungkinkan hacker untuk mengakses alamat email karyawan, mengubah kata sandi akun, dan bahkan melewati autentikasi dua faktor, memberikan mereka akses ke area yang seharusnya hanya bisa diakses oleh karyawan Subaru yang sah.
"Yang lebih mengkhawatirkan adalah bahwa mobil-mobil Subaru yang terhubung secara terus-menerus berkomunikasi dengan server Starlink, memungkinkan penyerang untuk memperoleh informasi penting seperti nomor identifikasi kendaraan (VIN), riwayat lokasi, odometer, serta data pribadi pemilik seperti nama, nomor telepon, dan alamat email," tulis Autoevolution.
Dengan data ini, hacker dapat melanjutkan ke tahap berikutnya dari serangan dengan membuat akun administrator baru untuk kendaraan yang terhubung. Ini memberikan mereka akses penuh untuk mengendalikan fitur jarak jauh mobil, termasuk memulai kendaraan, mengunci dan membuka kunci mobil, serta melacak lokasi mobil secara real-time.
Yang lebih mengkhawatirkan lagi, pemilik kendaraan tidak menerima pemberitahuan apa pun tentang penambahan pengguna baru pada akun Starlink mereka. Penambahan akun administrator baru dilakukan secara diam-diam, tanpa ada peringatan melalui pesan teks, email, atau notifikasi lainnya.
Akibatnya, pemilik kendaraan tidak akan mengetahui adanya perubahan ini kecuali mereka secara manual memeriksa profil kendaraan mereka. Beruntung, Curry melaporkan celah ini kepada Subaru pada November 2024, dan dalam waktu kurang dari 24 jam, Subaru merilis pembaruan keamanan untuk menanggulangi masalah tersebut.
Pembaruan ini berhasil menutup celah dan memblokir semua potensi eksploitasi yang mungkin terjadi akibat celah tersebut. Namun, kejadian ini menyoroti pentingnya perhatian yang lebih besar terhadap aspek keamanan perangkat lunak pada mobil modern.
Peneliti keamanan ini mencatat tantangan besar dalam mengamankan sistem mobil yang terhubung secara default dengan akses luas, yang bisa membuka celah bagi pihak yang tidak bertanggung jawab untuk mengambil alih kendali kendaraan. Kejadian ini juga menjadi pengingat bahwa produsen mobil perlu memastikan sistem mereka lebih aman dari potensi ancaman yang semakin canggih.
