Sebuah audit keamanan siber yang dilakukan oleh Kaspersky telah mengungkapkan kelemahan signifikan yang berpotensi membahayakan semua kendaraan terhubung dari salah satu produsen otomotif terkemuka. Temuan ini menyoroti risiko serius terhadap keselamatan fisik pengemudi dan penumpang, serta mendesak industri untuk segera memperketat langkah-langkah keamanan siber.
Kaspersky berhasil mengeksploitasi kerentanan zero-day pada aplikasi kontraktor yang dapat diakses publik, memungkinkan mereka untuk mengambil kendali penuh atas sistem telematika kendaraan. Ini berarti penyerang dapat secara paksa memindahkan gigi atau mematikan mesin saat kendaraan sedang beroperasi, menciptakan skenario yang sangat berbahaya di jalan.
Audit keamanan dilakukan dari jarak jauh, menargetkan layanan publik produsen dan infrastruktur kontraktor. Para peneliti Kaspersky mengidentifikasi beberapa layanan web yang terekspos. Melalui kerentanan injeksi SQL zero-day pada aplikasi wiki, mereka berhasil mengekstrak daftar pengguna kontraktor beserta hash kata sandi.
Di sisi kendaraan terhubung, Kaspersky menemukan firewall yang salah konfigurasi, yang mengekspos server internal. Dengan menggunakan kata sandi akun layanan yang diperoleh sebelumnya, peneliti mengakses sistem berkas server dan menemukan kredensial kontraktor lain, yang pada akhirnya memberikan kendali penuh atas infrastruktur telematika.
