Kerentanan dalam perangkat lunak logging yang digunakan oleh pemilik mobil Tesla, dipasangkan dengan beberapa praktik keamanan yang buruk oleh pemilik yang sama, memungkinkan peneliti keamanan siber untuk mengambil “kontrol penuh” lebih dari 25 kendaraan. Tidak ada malware yang diperlukan, dan tidak ada perangkat lunak antivirus yang dapat mendeteksi masalah tersebut.
Dalam sebuah posting blog, peneliti Jerman David Colombo mengungkapkan bagaimana kerentanan memungkinkan dia untuk membuka kunci pintu dan jendela, menonaktifkan mode Sentry, membunyikan klakson, dan bahkan mulai mengemudi tanpa kunci.
Kerentanan, yang sejak itu telah ditambal, ditemukan di alat yang disebut TeslaMate. Ini adalah perangkat lunak logging gratis yang dapat diinstal oleh pemilik Tesla di titik akhir mereka untuk mendapatkan akses ke data seperti konsumsi energi, riwayat energi, atau statistik mengemudi. Ini adalah dasbor web yang dihosting sendiri yang memerlukan akses ke API Tesla, di situlah masalahnya.
Mencabut API
Dasbor memungkinkan akses anonim, dan dilengkapi dengan pengaturan kata sandi default yang tidak diubah oleh banyak pengguna. Dengan mengekstrak API Tesla, melalui dasbor, Colombo berhasil menjaga aksesnya ke kendaraan, dan juga mendapatkan akses ke data seperti lokasi, rute mengemudi terbaru, atau lokasi parkir.
Cukup beruntung, peneliti tidak percaya kendaraan dapat dipindahkan dengan cara ini, tetapi mampu menyalakan lampu mobil saat mengemudi di jalan raya cukup berbahaya.
Kolombo menemukan mobil yang tidak terlindungi di Inggris, Eropa, Kanada, Cina, dan Amerika Serikat.
Meskipun ini tidak secara langsung menghilangkan keamanan di pihak Tesla, ada beberapa hal yang dapat dilakukan perusahaan untuk menjaga keamanan pelanggannya, klaim peneliti, termasuk mencabut API ketika kata sandi diubah, yang merupakan praktik standar industri.
Setelah menemukan masalahnya, Colombo berhasil menghubungi pembuat TeslaMate dan meminta mereka mengeluarkan tambalan. Berbicara kepada TechCrunch, pengelola proyek TeslaMate Adrian Kumpf mengatakan tambalan itu dibuat “dalam beberapa jam” setelah menerima pengarahan dari Colombo.
Namun, Kumpf menekankan bahwa perangkat lunak itu di-hosting sendiri dan tidak dapat melindungi pengguna yang secara tidak sengaja mengekspos sistem mereka ke internet. TeslaMate hadir dengan peringatan bahwa perangkat lunak harus diinstal “di jaringan rumah Anda, karena jika tidak, token API Tesla Anda mungkin berisiko.”
Namun, tambalan perlu diinstal secara manual.
- Anda mungkin juga ingin melihat daftar kami firewall terbaik tersedia sekarang
Melalui: TechCrunch
Posted By : pengeluaran hk
