Ancaman Dunia Otomotif, Kaspersky Ungkap Celah SIber Peretasan Mobil Jarak Jauh

Industri otomotif tengah menghadapi babak baru ancaman keamanan digital. Di tengah percepatan adopsi teknologi kendaraan terhubung (connected cars), Kaspersky menemukan celah keamanan siber yang berpotensi membuat peretas dapat mengendalikan mobil dari jarak jauh. 

Temuan ini diungkap dalam ajang Security Analyst Summit (SAS) 2025 di Thailand pada 27-29 Oktober 2025. Temuan tersebut sekaligus menjadi peringatan keras bahwa era digitalisasi kendaraan juga membawa risiko baru yang mengancam keselamatan fisik pengemudi dan penumpang.

Kepala Penelitian dan Penilaian Kerentanan Industrial Control Systems Cyber Emergency Response Team (ICS CERT) Kaspersky, Artem Zinenko mengungkapkan, kerentanan ditemukan pada sistem telematika milik salah satu produsen otomotif global. Dengan mengeksploitasi celah zero-day di penyedia aplikasi yang dapat diakses publik, penyerang berpotensi mendapatkan kendali penuh terhadap jaringan kendaraan.

Aktivitas ini termasuk kemampuan untuk mematikan mesin, mengubah transmisi, atau mengakses sistem sensor saat mobil sedang berjalan. Menurut Artem satu titik lemah pada penyedia layanan tambahan saja sudah cukup untuk membuka akses ke seluruh sistem kendaraan yang terhubung.

“Kelemahan ini berasal dari masalah klasik di industri otomotif: layanan web terbuka, kata sandi lemah, tidak adanya autentikasi dua faktor, dan penyimpanan data sensitif tanpa enkripsi,” kata Artem seperti dikutip Rabu (29/10). 

Lebih jauh ia menjelaskan audit yang dilakukan tim Kaspersky menemukan rantai kelemahan dari sisi penyediaan infrastruktur hingga ke kendaraan. Para peneliti berhasil menembus sistem internal melalui kerentanan SQL injection pada aplikasi wiki yang digunakan secara kolaboratif oleh pihak rekanan.  

Dari situ, mereka memperoleh daftar pengguna dan hash password yang sebagian berhasil ditebak karena kebijakan keamanan yang longgar. Temuan ini memberikan akses lebih dalam ke sistem pelacakan internal (issue tracking system) yang berisi detail konfigurasi sensitif infrastruktur telematika pabrikan, termasuk data pengguna salah satu server kendaraan.

Di sisi kendaraan, Kaspersky menemukan konfigurasi firewall yang keliru sehingga mengekspos server internal. Dengan kredensial yang sudah diperoleh, para peretas berhasil mengakses sistem berkas dan menemukan data rekanan lain yang memberi kendali penuh atas seluruh infrastruktur telematika. 

Lebih lanjut, Kaspersky juga menemukan perintah pembaruan firmware yang memungkinkan pengunggahan perangkat lunak berbahaya ke Telematics Control Unit (TCU). Unit ini terhubung ke Controller Area Network (CAN bus) yaitu sistem utama yang mengoordinasikan mesin, sensor, dan transmisi. Akses terhadap CAN bus memungkinkan peretas memanipulasi fungsi vital kendaraan, menimbulkan risiko nyata bagi keselamatan pengemudi dan penumpang.

Artem menjelaskan, temuan terbaru ini menjadi sinyal kuat bagi industri otomotif untuk memperkuat keamanan digitalnya. Kaspersky menekankan pentingnya audit menyeluruh dan kontrol berlapis, terutama pada rantai pasokan teknologi yang melibatkan pihak ketiga. 

“Industri otomotif harus memprioritaskan praktik keamanan siber yang kuat, terutama pada sistem pihak ketiga, untuk melindungi pengemudi dan menjaga kepercayaan publik terhadap teknologi kendaraan yang terhubung,” ujar Artem. 

Adanya ancaman keamanan siber di dunia otomotif ini diakui oleh pebalap profesional Jann Mardenborough yang hadir dalam forum SAS. Ia menyatakan dunia racing saat ini sudah berkembang sedemikian cepat sehingga butuh langkah antisipatif. Pemanfaatan teknologi digital menurut dia di satu membuka peluang adanya peretasan yang bisa membahayakan driver. 

“Dunia racing modern saat ini tidak lagi hanya berpacu dan terpaku pada mesin tetapi juga penggunaan teknologi termasuk digital,” ujar Jann. 

Sementara itu CEO Kaspersky, Eugene Kaspersky mengatakan ancaman siber pada industri otomotif ini sebenarnya sudah mulai menjadi perhatiannya sejak lama. Ia menyatakan pada 1998 pernah mengeluarkan pernyataan bernada candaan bahwa pada saatnya nanti juga akan ada serangan siber terhadap dunia otomotif. 

“Sekarang sudah banyak teknologi kendaraan yang terhubung secara digital sehingga persoalan celah siber kini harus menjadi perhatian serius,” ujar Eugene. 

Menurut Eugene dengan dunia yang kini terhubung secara digital maka akan ada banyak ancaman yang perlu diwaspadai. 

Upaya Pencegahan

Kaspersky menyarankan langkah-langkah teknis untuk memperkuat pertahanan industri otomotif. Bagi penyedia layanan, perusahaan keamanan siber global ini merekomendasikan pembatasan akses internet ke layanan web melalui VPN dan isolasi layanan dari jaringan internal perusahaan. Kaspersky juga mengingatkan agar dilakukan kebijakan kata sandi yang ketat, penerapan autentikasi dua faktor (2FA), enkripsi data sensitif, serta integrasi pencatatan dengan sistem Security Information and Event Management (SIEM) untuk pemantauan waktu nyata.

Sementara itu, bagi produsen mobil, Kaspersky menyarankan pembatasan akses platform telematika dari segmen jaringan kendaraan. Pencegahan lainnya adalah dengan penerapan daftar putih (whitelist) untuk komunikasi jaringan, penonaktifan autentikasi SSH berbasis kata sandi, menjalankan layanan dengan hak istimewa minimal, memastikan keaslian setiap perintah yang dikirim ke TCU, serta integrasi dengan sistem SIEM.

Melalui divisi ICS CERT, Kaspersky terus menelusuri celah keamanan pada sistem otomasi industri dan Industrial Internet of Things (IIoT). Tim ini telah membantu mengidentifikasi dan menutup ratusan kerentanan pada sistem industri penting di seluruh dunia, memperkuat ketahanan terhadap serangan siber yang semakin canggih.

Dengan pengalaman lebih dari dua dekade, Kaspersky menilai bahwa ancaman siber terhadap kendaraan cerdas kini berkembang cepat seiring meningkatnya konektivitas digital. Di masa depan, keamanan siber akan menjadi elemen krusial dalam menjaga kepercayaan publik terhadap inovasi otomotif. Sebab di era mobil pintar, ancaman digital bukan lagi sekadar soal pencurian data—melainkan potensi kendali atas kendaraan di dunia nyata.