JAKARTA - Industri otomotif global kembali diguncang isu serius terkait keamanan digital.
Sebuah audit keamanan siber oleh Kaspersky menemukan potensi kerentanan besar pada sistem kendaraan terhubung milik salah satu produsen otomotif ternama dunia.
Temuan ini menimbulkan kekhawatiran karena membuka peluang bagi peretas untuk mengendalikan kendaraan dari jarak jauh — termasuk mematikan mesin atau memindahkan transmisi saat mobil sedang berjalan.
Kaspersky, yang dikenal sebagai perusahaan keamanan siber global, mengungkapkan bahwa kelemahan tersebut ditemukan melalui eksploitasi kerentanan zero-day pada aplikasi milik kontraktor produsen tersebut.
Aplikasi ini ternyata bisa diakses secara publik, memberi jalan bagi penyerang untuk menembus sistem telematika kendaraan tanpa harus memiliki akses fisik.
“Kerentanan ini menyoroti ancaman nyata terhadap keselamatan pengemudi dan penumpang di jalan. Industri otomotif harus segera memperketat sistem pertahanannya,” demikian peringatan tim peneliti dari Kaspersky.
Eksploitasi Zero-Day yang Berujung Kendali Penuh
Audit keamanan dilakukan secara jarak jauh dengan fokus pada layanan publik dan infrastruktur kontraktor yang bekerja sama dengan pabrikan otomotif tersebut.
Dari hasil penyelidikan, peneliti Kaspersky menemukan sejumlah layanan web yang terekspos, termasuk aplikasi internal berbasis wiki yang ternyata memiliki kerentanan injeksi SQL zero-day.
Dengan memanfaatkan celah itu, mereka berhasil mengekstrak daftar pengguna kontraktor dan hash kata sandi. Karena kebijakan kata sandi yang lemah, sebagian akun mudah ditebak dan akhirnya memberi akses lebih dalam ke sistem pelacakan masalah kontraktor, yang berisi data konfigurasi penting terkait infrastruktur telematika pabrikan.
Sistem ini ternyata menyimpan berkas berisi hash kata sandi pengguna server telematika kendaraan, membuka jalan menuju kendali atas infrastruktur yang menghubungkan ribuan kendaraan.
Masalah makin parah ketika Kaspersky menemukan firewall kendaraan yang salah konfigurasi, sehingga server internal terekspos ke jaringan publik.
Dengan kredensial yang sudah didapat, peneliti kemudian dapat mengakses sistem berkas server dan menemukan data tambahan kontraktor lain, memberikan akses penuh terhadap infrastruktur telematika pabrikan.
Akses ke Sistem Kendaraan dan Risiko Nyata di Jalan
Salah satu temuan paling berbahaya adalah adanya perintah pembaruan firmware pada sistem yang memungkinkan pengunggahan firmware modifikasi ke Unit Kontrol Telematika (TCU) kendaraan.
Dari titik ini, penyerang bisa masuk ke jaringan internal kendaraan, yaitu bus CAN (Controller Area Network) — sistem vital yang menghubungkan berbagai komponen penting seperti mesin, sensor, dan sistem keselamatan.
Artinya, pihak jahat berpotensi mengubah fungsi kendaraan secara langsung, misalnya memindahkan gigi transmisi, menginjak rem, atau mematikan mesin saat mobil sedang melaju.
Kaspersky menilai skenario ini bukan sekadar ancaman teoritis, tetapi bisa membahayakan keselamatan fisik pengemudi dan penumpang jika eksploitasi benar-benar dilakukan oleh pelaku kejahatan siber.
“Kelemahan keamanan ini berakar pada masalah klasik di industri otomotif — layanan web publik yang tidak aman, kata sandi lemah, ketiadaan autentikasi dua faktor (2FA), dan penyimpanan data sensitif yang tidak terenkripsi,” jelas Artem Zinenko, Kepala Penelitian dan Penilaian Kerentanan Kaspersky ICS CERT.
“Satu titik lemah dalam sistem kontraktor dapat berujung pada pengambilalihan total terhadap ribuan kendaraan terhubung. Karena itu, sektor otomotif perlu menaruh prioritas tinggi pada praktik keamanan siber, terutama untuk sistem milik pihak ketiga.”
Rekomendasi Kaspersky untuk Kontraktor dan Produsen Otomotif
Sebagai tindak lanjut atas temuan audit tersebut, Kaspersky memberikan rekomendasi mendesak bagi para kontraktor dan produsen otomotif agar memperkuat sistem pertahanan digital mereka.
Untuk kontraktor, langkah-langkah yang disarankan antara lain:
Membatasi akses internet ke layanan web internal dengan VPN.
Mengisolasi sistem layanan publik dari jaringan utama perusahaan.
Menerapkan kebijakan kata sandi kuat serta autentikasi dua faktor (2FA).
Mengenkripsi seluruh data sensitif.
Mengintegrasikan log aktivitas dengan sistem SIEM (Security Information and Event Management) untuk pemantauan waktu nyata.
Sementara untuk produsen otomotif, Kaspersky menekankan pentingnya memisahkan akses platform telematika dari jaringan kendaraan utama guna mencegah penyusupan berantai. Selain itu, produsen disarankan untuk:
Menggunakan daftar izin (whitelist) untuk semua interaksi jaringan.
Menonaktifkan autentikasi berbasis kata sandi SSH.
Menjalankan layanan dengan hak istimewa minimal (least privilege).
Memastikan keaslian semua perintah firmware yang dikirim ke TCU.
Mengintegrasikan sistem SIEM untuk deteksi dan respons cepat terhadap anomali keamanan.
Urgensi Penguatan Keamanan di Era Kendaraan Terhubung
Temuan ini menjadi peringatan keras bagi industri otomotif global yang kini tengah berlomba-lomba mengembangkan kendaraan terhubung dan otomatisasi canggih. Semakin banyak fitur digital dan konektivitas internet yang ditambahkan, semakin besar pula permukaan serangan (attack surface) yang bisa dimanfaatkan oleh peretas.
Audit yang dilakukan Kaspersky membuktikan bahwa satu celah kecil di rantai pasokan digital — dalam hal ini aplikasi kontraktor — dapat mengancam keselamatan ribuan pengguna di seluruh dunia.
Keamanan siber kini tak bisa lagi dianggap sebagai aspek tambahan, tetapi harus menjadi bagian integral dari desain dan produksi kendaraan modern. Produsen otomotif dituntut tidak hanya menciptakan kendaraan yang efisien dan nyaman, tetapi juga aman secara digital.