Dengan cara baru untuk mencuri mobil, pakar keamanan otomotif telah menemukan bahwa penjahat dunia maya dapat meretas sistem kontrol kendaraan melalui lampu depan. Sistem kontrol dikelola oleh bus jaringan area pengontrol (CAN), protokol Internet of Things (IoT) yang memungkinkan perangkat dan mikrokontroler berkomunikasi satu sama lain di dalam mobil.
Dengan memanipulasi unit kontrol elektronik (ECU) di lampu depan Toyota RAV4, penyerang dapat mengakses bus CAN dan menguasai mobil. Pendekatan ini, seperti yang dijelaskan dalam postingan blog oleh Canis Automotive Labs CTO Ken Tindell, adalah cara unik untuk meretas mobil yang belum pernah terlihat sebelumnya. Setelah terhubung melalui lampu depan, penyerang dapat memperoleh akses ke bus CAN, yang bertanggung jawab atas fungsi seperti rem parkir, lampu depan, dan kunci pintar, dan kemudian ke panel powertrain tempat kontrol mesin berada.
Meskipun peretasan mobil bukanlah masalah baru, metode serangan ini menyoroti kerentanan protokol IoT seperti bus CAN dan perlunya langkah-langkah keamanan yang lebih baik dalam sistem otomotif.
Menghubungkan ECU di RAV4 menggunakan CAN Bus Wiring (melalui blog Canis CTO)
Tindell memperingatkan bahwa bentuk injeksi CAN ini akan memaksa produsen untuk mempertimbangkan kembali keamanan jaringan kendali kendaraan mereka. “Sebagai seorang teknisi mobil, fokus Anda adalah mengatasi berbagai tantangan seperti meminimalkan pemasangan kabel, meningkatkan keandalan, dan mengurangi biaya. Keamanan dunia maya mungkin tidak selalu menjadi yang terdepan dalam pikiran Anda.”
Kasus Pencurian Toyota RAV4 di London
Ian Tabor, seorang konsultan keamanan otomotif, terbangun dan menemukan bahwa Toyota RAV4 miliknya yang diparkir telah dirusak di London. Bemper depan dan lampu depan kiri mobil telah dirusak, dan area yang sama kemudian ditemukan telah dirusak lagi.
Tidak ada gunanya memiliki mobil yang bagus akhir-akhir ini, keluar lebih awal untuk menemukan bemper depan dan trim lengkung dilepas dan lebih buruk lagi steker kabel lampu telah dicabut, jika memang bukan kecelakaan, sisi trotoar dan tanda obeng besar. Pecahan klip dll. C&#ts pic.twitter.com/7JaF6blWq9
— Ian Tabor (@mintynet) 24 April 2022
Sayangnya, dia tidak menyadari sejauh mana sabotase tersebut sampai kendaraannya dicuri. Anehnya, teman dan insinyur otomotif Tabor, Tindell, yang sebelumnya mengembangkan platform berbasis CAN untuk Volvo, berada dalam posisi untuk membantu, karena kerentanan RAV4 dilacak ke sistem CAN-nya. Insiden tersebut menyoroti kebutuhan mendesak untuk meningkatkan keamanan siber kendaraan.
Saya tahu apa yang mereka lakukan, mobilnya hilang! Aplikasi @ToyotaUK saya menunjukkan sedang bergerak. Saya hanya mengisi tangki tadi malam. FCUK! https://t.co/SWl8PcmfZJ
— Ian Tabor (@mintynet) 21 Juli 2022
“Kunci” untuk Pembobolan Mobil
Menurut Tindell, kunci untuk membobol kendaraan modern sebenarnya adalah kunci itu sendiri. Kunci nirkabel bertindak sebagai pertahanan perimeter yang berkomunikasi dengan unit kontrol mesin (ECU) untuk memverifikasi keasliannya sebelum membiarkan mesin immobilizer menyalakan mobil. Pencuri biasanya menggunakan “serangan relai”, yang melibatkan penggunaan stasiun relai radio genggam untuk mencegat permintaan autentikasi mobil dan menyampaikannya ke kunci pintar, biasanya terletak di rumah pemilik.
Pabrikan telah mengatasi ini dengan merancang kunci untuk “tidur” setelah beberapa menit tidak aktif, dan pemilik dengan kunci yang tidak melakukannya dapat menyimpannya di dalam kotak logam yang tidak dapat ditembus radio. Metode serangan lainnya termasuk mengeksploitasi kerentanan di aplikasi seluler dan sistem infotainment.
Diajukan secara umum. Baca lebih lanjut tentang Mobil dan IoT (Internet of Things).