Peneliti keamanan siber telah mengungkap kerentanan kritis pada kendaraan listrik Nissan Leaf 2020 yang memungkinkan peretas mendapatkan kontrol jarak jauh penuh atas fungsi-fungsi penting kendaraan. Eksploitasi ini, yang didemonstrasikan oleh PCA Cyber Security yang berbasis di Budapest pada konferensi Black Hat Asia, mengubah kendaraan listrik tersebut menjadi apa yang peneliti sebut sebagai mobil RC seberat 3.500 pon melalui manipulasi canggih sistem infotainment mobil.
 |
|---|
| Perspektif pengemudi mengungkapkan implikasi kerentanan kontrol jarak jauh pada kendaraan modern seperti Nissan Leaf |
Vektor Serangan dan Metodologi
Pelanggaran keamanan dimulai dengan peretas yang mengeksploitasi antarmuka Bluetooth Nissan Leaf melalui pendekatan rekayasa sosial yang diatur dengan cermat. Penyerang pertama-tama mengganggu sinyal pada spektrum 2,4 GHz, yang memicu peringatan pada sistem infotainment kendaraan yang menunjukkan masalah konektivitas dengan perangkat yang dipasangkan seperti smartphone. Hal ini mendorong pengemudi yang tidak curiga untuk membuka menu pengaturan konektivitas Bluetooth, memberikan jendela kesempatan kritis bagi peretas untuk menyusup ke dalam sistem.
Setelah menu Bluetooth diakses, peretas dapat menghubungkan perangkat mereka tanpa kedekatan fisik dengan kendaraan atau interaksi langsung dengan layar infotainment. Serangan ini memanfaatkan beberapa kerentanan dalam arsitektur sistem, memungkinkan akses tidak sah untuk meningkat dari konektivitas sederhana menjadi kontrol kendaraan yang lengkap.
Kompromi Sistem yang Komprehensif
Ruang lingkup kontrol yang dapat dicapai melalui eksploitasi ini jauh melampaui kekhawatiran keamanan siber yang biasa. Peneliti mendemonstrasikan kemampuan untuk memanipulasi sistem keselamatan kritis dari jarak jauh termasuk mekanisme kemudi dan pengereman saat kendaraan sedang bergerak. Peretasan ini juga memungkinkan kontrol atas sistem sekunder seperti wiper kaca depan, spion samping, dan klakson kendaraan.
Mungkin yang lebih mengkhawatirkan dari perspektif privasi, eksploitasi ini memungkinkan peretas merekam percakapan di dalam kabin kendaraan dan melacak lokasi mobil melalui pemantauan GPS. Kombinasi kontrol fisik dan kemampuan pengawasan ini merupakan eskalasi signifikan dalam ancaman keamanan siber otomotif.
Kemampuan Eksploitasi
Kontrol Fisik:
- Kontrol kemudi jarak jauh saat kendaraan sedang bergerak
- Manipulasi sistem pengereman
- Aktivasi wiper kaca depan
- Penyesuaian spion samping
- Aktivasi klakson
Fitur Pengawasan:
- Perekaman audio di dalam kabin
- Pelacakan lokasi GPS
- Pemantauan kendaraan secara real-time
Spesifikasi Target:
- Kendaraan: Nissan Leaf ZE1 2020
- Perangkat Lunak Terpengaruh: Versi 283C30861E
- Vektor Serangan: Antarmuka Bluetooth melalui sistem infotainment
Metodologi Penelitian dan Pengungkapan yang Bertanggung Jawab
PCA Cyber Security melakukan penelitian mereka menggunakan komponen Nissan Leaf bekas yang dibeli melalui eBay, membangun test bench komprehensif untuk menganalisis kerentanan sistem infotainment. Tim ini mengembangkan skrip Python khusus untuk melewati mekanisme anti-pencurian sistem, mengungkap kelemahan keamanan mendasar yang memungkinkan serangan komprehensif mereka.
Para peneliti mengikuti protokol pengungkapan yang bertanggung jawab, memberitahu Nissan tentang kerentanan tersebut sebelum mempresentasikan temuan mereka secara publik. Pekerjaan mereka menghasilkan identifikasi sepuluh kelemahan keamanan yang berbeda, termasuk beberapa stack buffer overflow yang mengarah pada eksekusi kode jarak jauh dan filtrasi lalu lintas yang tidak tepat antara jaringan komunikasi internal kendaraan.
Kerentanan yang Teridentifikasi
| Nomor CVE | Deskripsi |
|---|---|
| CVE-2025-32056 | Bypass Anti-Theft |
| CVE-2025-32057 | app_redbend: Serangan MitM |
| CVE-2025-32058 | v850: Stack Overflow dalam pemrosesan CBR |
| CVE-2025-32059 | Stack buffer overflow yang mengarah ke RCE [0] |
| CVE-2025-32060 | Tidak adanya verifikasi tanda tangan modul kernel |
| CVE-2025-32061 | Stack buffer overflow yang mengarah ke RCE [1] |
| CVE-2025-32062 | Stack buffer overflow yang mengarah ke RCE [2] |
| CVE-2025-32063 | Persistensi untuk jaringan Wi-Fi |
| PCA_NISSAN_009 | Filtrasi lalu lintas yang tidak tepat antara bus CAN |
| PCA_NISSAN_012 | Persistensi melalui CVE-2017-7932 dalam HAB dari i.MX 6 |
Dampak Terbatas dan Langkah-Langkah Mitigasi
Meskipun sifat eksploitasi ini dramatis, para ahli keamanan mencatat beberapa faktor yang membatasi dampak dunia nyatanya. Kerentanan ini secara khusus mempengaruhi model Nissan Leaf 2020 yang menjalankan versi perangkat lunak 283C30861E, secara signifikan membatasi kelompok korban potensial. Selain itu, kegunaan praktis mengontrol kendaraan dari jarak jauh tanpa umpan balik visual tetap dipertanyakan untuk sebagian besar tujuan jahat.
Nissan telah merilis pembaruan firmware yang mengatasi kerentanan yang diidentifikasi, dan respons cepat perusahaan menunjukkan pentingnya pengungkapan terkoordinasi dalam keamanan siber otomotif. Pemilik kendaraan yang belum memperbarui firmware sistem infotainment mereka sangat disarankan untuk segera melakukannya.
Implikasi yang Lebih Luas untuk Kendaraan Terhubung
Eksploitasi ini menyoroti tantangan keamanan siber yang berkembang yang dihadapi industri otomotif karena kendaraan menjadi semakin terhubung dan terkomputerisasi. Mobil modern sangat bergantung pada sistem perangkat lunak dan jaringan nirkabel, menciptakan banyak titik masuk potensial bagi aktor jahat. Integrasi sistem infotainment dengan fungsi kendaraan kritis merupakan area perhatian khusus bagi para profesional keamanan.
Penelitian ini menggarisbawahi kebutuhan bagi produsen otomotif untuk menerapkan langkah-langkah keamanan yang kuat sepanjang siklus hidup pengembangan kendaraan, dari desain awal hingga pembaruan perangkat lunak dan pemeliharaan yang berkelanjutan.