Berita Terbaru

Jutaan Mobil Terancam Serangan Siber Akibat Celah Bluetooth

Ilustrasi Bluetooth

Ilustrasi Bluetooth

Ancaman siber tak lagi hanya mengintai komputer atau ponsel, kini kendaraan pun rentan diserang. Temuan baru bernama PerfektBlue menunjukkan bagaimana Bluetooth dalam mobil bisa dimanfaatkan peretas untuk mengambil alih sistem secara jarak jauh. Berikut penjelasan lengkapnya.

 
Apa Itu PerfektBlue?

PerfektBlue adalah nama dari satu rangkaian kerentanan serius yang ditemukan oleh peneliti keamanan siber dalam sistem Bluetooth stack buatan OpenSynergy, yakni BlueSDK. Celah ini memungkinkan penyerang untuk melakukan Remote Code Execution (RCE) terhadap sistem kendaraan, hanya dengan memanfaatkan koneksi Bluetooth.

Tak tanggung-tanggung, jutaan kendaraan dari berbagai pabrikan global diperkirakan terdampak. Di antaranya adalah Mercedes-Benz, Volkswagen, dan Skoda. Bahkan, disebutkan ada satu produsen besar lain yang belum diumumkan secara publik turut terkena imbasnya.

Dengan menyusun keempat kerentanan ini dalam satu rantai serangan, peretas bisa menjalankan kode jahat secara sewenang-wenang pada sistem In-Vehicle Infotainment (IVI) yakni sistem multimedia dan informasi yang biasanya berada di dashboard kendaraan.

 
Kenapa PerfektBlue Sangat Berbahaya?

Selama ini, sistem infotainment dianggap terisolasi dari bagian vital mobil seperti mesin atau rem. Namun, kenyataannya, desain jaringan internal kendaraan berbeda-beda, dan banyak di antaranya masih menyambungkan IVI ke sistem penting lain.

Jika jaringan mobil tidak dirancang dengan isolasi yang kuat, maka IVI dapat menjadi batu loncatan untuk menyusup lebih dalam ke sistem-sistem kritikal. Yang lebih memprihatinkan, serangan ini tidak butuh banyak syarat teknis. Penyerang hanya perlu:

  • Berada dalam jangkauan Bluetooth (sekitar 5–10 meter)
  • Melakukan pairing atau pemasangan koneksi Bluetooth dengan sistem IVI mobil

Bahkan dalam kondisi tertentu, pairing ini bisa tidak butuh interaksi pengguna sama sekali, tergantung bagaimana produsen menerapkan BlueSDK.

 
Rincian 4 Kerentanan PerfektBlue

Berikut adalah empat celah yang menjadi bagian dari PerfektBlue, lengkap dengan kode CVE (Common Vulnerabilities and Exposures) dan skor tingkat keparahan CVSS:

  1. CVE-2024-45434 (CVSS 8.0)
    Use-After-Free pada layanan AVRCP (Audio/Video Remote Control Profile). Ini celah paling berbahaya di antara keempatnya, bisa menyebabkan eksekusi kode jika dimanfaatkan.
  2. CVE-2024-45431 (CVSS 3.5)
    Validasi CID jarak jauh yang salah pada saluran L2CAP, memungkinkan gangguan komunikasi antar perangkat.
  3. CVE-2024-45433 (CVSS 5.7)
    Fungsi RFCOMM tidak berhenti dengan benar, berisiko menimbulkan crash atau eksekusi kode.
  4. CVE-2024-45432 (CVSS 5.7)
    Pemanggilan fungsi dengan parameter salah di RFCOMM, memperbesar potensi serangan bila dikombinasikan dengan celah lainnya.
     

Apa yang Bisa Dilakukan Peretas?

Jika keempat celah ini dimanfaatkan secara berantai, penyerang bisa mendapatkan kontrol penuh atas sistem infotainment mobil. Ini beberapa dampak serius yang bisa terjadi:

  • Melacak posisi kendaraan secara real-time melalui sistem GPS
  • Merekam audio dari dalam mobil tanpa sepengetahuan pengguna
  • Mengakses kontak, pesan, dan file lainnya yang tersimpan dalam sistem
  • Mengakses sistem internal lainnya, bahkan berpotensi mematikan mesin atau mengambil alih fungsi kendaraan

Semua ini dapat dilakukan tanpa perlu akses fisik ke mobil, cukup dengan koneksi Bluetooth saja.

 
Riwayat Kasus Serupa: Nissan Leaf

Sebelumnya pada April 2024, PCA Cyber Security juga mempublikasikan sebuah eksperimen peretasan terhadap mobil listrik Nissan Leaf. Mereka berhasil:

  • Mengeksploitasi kelemahan Bluetooth untuk masuk ke sistem internal
  • Menonaktifkan secure boot
  • Membuat koneksi tersembunyi dengan Command and Control (C2) melalui DNS
  • Mengakses CAN bus (Controller Area Network)—jantung komunikasi antar sistem elektronik kendaraan

Dengan menguasai CAN bus, peretas dapat:

  • Membuka kunci pintu
  • Menyalakan mesin
  • Mengaktifkan rem atau mengendalikan wiper
  • Bahkan, mengambil alih kendali setir dalam beberapa kasus ekstrem
     

Contoh Serangan Fisik: Perangkat Tersembunyi
Dalam skenario lain, peretas dapat secara fisik menanamkan perangkat kecil di dalam mobil, misalnya di balik speaker portabel. Perangkat ini akan tersambung ke kabel CAN bus, dan menyamar sebagai modul resmi kendaraan.

Kemudian, alat tersebut bisa mengirim perintah palsu seperti:

  • “Kunci valid terdeteksi”
  • “Silakan buka pintu”

Metode ini membuat pencurian kendaraan menjadi sangat mudah dan nyaris tanpa jejak.

 
Eksperimen Kreatif: Mobil Jadi Pengontrol Game

Tak hanya untuk tujuan kejahatan, sistem kendaraan juga pernah dieksplorasi dalam eksperimen lucu. Misalnya, Renault Clio 2016 berhasil diubah oleh tim Pen Test Partners menjadi pengontrol game Mario Kart.

Mereka membaca data setir, pedal gas, dan rem dari CAN bus, lalu mengintegrasikannya ke dalam game Python, menjadikan mobil sungguhan sebagai joystick video game.

Meskipun terdengar lucu, ini tetap menunjukkan betapa rentannya sistem kendaraan jika tidak dijaga ketat.

 
Tanggapan dari Volkswagen

Pabrikan asal Jerman, Volkswagen, memberikan tanggapan resmi yang dikutip dari The Hacker News. Mereka mengakui bahwa sistem infotainment memang bisa diakses melalui Bluetooth dalam kondisi tertentu, namun mereka menekankan:

“Fungsi penting kendaraan seperti kemudi, pengereman, dan fitur bantuan pengemudi tidak terdampak karena terisolasi di unit kontrol yang berbeda.”
Volkswagen juga menyatakan bahwa:

Tidak ada bukti nyata bahwa celah ini telah dimanfaatkan di dunia nyata
Serangan hanya bisa terjadi jika semua kondisi berikut terpenuhi:

  • Penyerang berada dalam jarak 5–7 meter
  • Kendaraan dalam kondisi menyala
  • Mode pairing Bluetooth aktif
  • Pengemudi secara aktif menyetujui koneksi dari perangkat asing

 

Upaya Perbaikan dan Patch Keamanan

PCA Cyber Security melaporkan temuan ini secara bertanggung jawab pada Mei 2024. Kemudian pada September 2024, OpenSynergy bersama produsen mobil merilis patch atau pembaruan sistem untuk menutup celah ini.

Namun, seperti biasa, efektivitas perbaikan tergantung pada pengguna. Tidak semua pemilik mobil rajin memeriksa atau menginstal pembaruan.

Volkswagen mengimbau pengguna untuk segera memperbarui sistem infotainment mereka. Dalam beberapa kasus, pengguna harus membawa mobil ke bengkel resmi untuk proses pembaruan.

 
Langkah Pencegahan untuk Pengguna

Berikut langkah-langkah yang bisa dilakukan pemilik kendaraan untuk mengurangi risiko:

  • Hindari pairing Bluetooth sembarangan
    Pastikan hanya perangkat yang dikenal yang terhubung ke sistem infotainment.
  • Cek kode verifikasi saat pairing
    Cocokkan angka di layar mobil dengan angka di perangkat Anda.
  • Selalu lakukan update sistem mobil
    Gunakan pembaruan resmi dari pabrikan untuk menambal celah keamanan.
  • Matikan mode pairing jika tidak digunakan
    Beberapa sistem IVI memungkinkan Anda untuk menonaktifkan fitur ini secara manual.

PerfektBlue membuktikan bahwa sistem hiburan dalam mobil bisa menjadi titik lemah yang fatal jika tidak diperhatikan dengan serius. Dalam era mobil pintar, peretasan bukan lagi fiksi ilmiah.

Meskipun sistem keamanan terus diperbarui, kesadaran pengguna tetap menjadi pertahanan utama. Jangan pernah meremehkan celah kecil, terutama yang melibatkan koneksi nirkabel seperti Bluetooth. Dunia otomotif kini sudah menjadi medan tempur baru dalam dunia siber, dan keamanan kendaraan tak lagi hanya soal rem dan sabuk pengaman, tapi juga kode dan protokol digital.

Bagikan artikel ini
Komentar ()

Berlangganan

Berlangganan newsletter kami dan dapatkan informasi terbaru.

Artikel Terkait

Video Terkait