Senin, 25 Maret 2024 10:39 WIB
Penulis:Nila Ertina
JAKARTA- Peneliti keamanan siber Tommy Mysk dan Talal Haj Bakry telah menemukan eksploitasi yang memungkinkan penjahat dunia maya mengakses akun Tesla untuk menghasilkan “kunci digital” untuk membuka kunci mobil dan pergi. Mereka merinci temuan mereka dalam presentasi YouTube pada 7 Maret 2024 lalu.
Myski dan Bakry bekerja di perusahaan teknologi Mysk. Kedua orang ini bisa dikategorikan sebagai 'White hat hackers'. Mereka melakukan peretasan tidak untuk melakukan kejahatan, tetapi untuk menguji keamanan sebuah sistem. Mereka biasanya adalah programmer, developer, atau orang yang ahli di bidang teknologi tetapi tidak menyalahgunakan kemampuan tersebut. Peretas white hat juga biasa disebut sebagai ethical hacker.
Mereka berhasil melakukan peretasan dengan membuka kunci pintu Tesla Model 3. Meskipun akun tersebut dilindungi oleh otentikasi dua faktor (2FA). Ini adalah lapisan perlindungan tambahan yang meminta kode sebelum masuk.
Baca Juga:
Mereka hanya memerlukan perangkat Flipper Zero kecil dan Wi-Fi development board. Keduanya dapat dibeli secara online. Perangkat Flipper Zero, yang harganya hanya US$169 ini mirip dengan " Swiss Army Knife" bagi peneliti keamanan.
Teknologi ini memungkinkan mereka membaca, menyalin, dan meniru tag frekuensi radio dan komunikasi jarak dekat atau near-field communication (NFC), remote radio, kunci akses digital, dan sinyal lainnya. Hal ini legal di Amerika meskipun Kanada baru saja mengambil tindakan untuk melarangnya.
Para peneliti menggunakan Flipper Zero di samping Wi-Fi development board untuk menghasilkan dan menyiarkan halaman login Tesla palsu. Sebelum menipu korban agar membagikan kredensial login mereka.
Para peneliti melakukan eksploitasi ini melalui jaringan Wi-Fi publik bernama “Tesla Guest,” seperti yang digunakan di pusat servis Tesla.
Mereka menyiarkan versi palsu dari jaringan ini melalui Flipper Zero. Artinya jika seseorang mengklik jaringan captive untuk mengakses Wi-Fi, layar login Tesla palsu akan muncul. Menyiarkan jaringan Wi-Fi palsu ini di lokasi yang biasa dikunjungi oleh pengemudi Tesla, seperti Tesla SuperChargers, akan memungkinkan penjahat dunia maya mencuri detail login akun Tesla.
Jika dieksploitasi di dunia nyata, peretas hanya perlu menunggu pengemudi Tesla yang tidak curiga terhubung ke jaringan Wi-Fi palsu dan mengetikkan detail login mereka ke portal login palsu. Kredensial pengguna, termasuk alamat email, kata sandi, dan kode 2FA, kemudian akan muncul di layar Flipper Zero. Setelah memperoleh informasi tersebut, peretas dapat meluncurkan aplikasi Tesla dan mengakses akun korban.
Aplikasi ini memberikan akses langsung mobil tanpa peretas perlu mengaktifkan kunci digitalnya yang ada di ponselnya. Dengan mengaktifkan kunci di dekat mobil korban, peretas dapat mengendalikannya dari jarak jauh. Yang mengkhawatirkan, Anda dapat melakukan ini tanpa harus berada di dalam mobil. Anda hanya perlu mengaktifkan Bluetooth dan mengaktifkan pengaturan lokasi.
Mendemonstrasikan eksploitasi ini, peneliti berhasil membuka kunci pintu Tesla Model 3. Juga menunjukkan cara menambahkan kunci digital tanpa pemberitahuan muncul di layar sentuh. Mereka dapat menyalakan mobil dan pergi.
Tim Mysk melaporkan temuan mereka ke Tesla Product Security, yang merespons dengan menelepon.
Tulisan ini telah tayang di www.trenasia.com oleh Amirudin Zuhri pada 25 Mar 2024