Peneliti keamanan telah menemukan kerentanan serius pada perangkat pelacak GPS populer yang digunakan oleh ribuan pemilik kendaraan di seluruh dunia, menimbulkan risiko signifikan terhadap keamanan dan privasi. Celah ini ditemukan dalam perangkat SinoTrack, yang banyak digunakan untuk pelacakan dan manajemen armada.
Kerentanan Keamanan Kritis pada Perangkat GPS
Sebuah laporan dari firma keamanan mengungkap adanya beberapa celah keamanan pada perangkat SinoTrack, termasuk model SinoTrack ST-901 dan kemungkinan perangkat lain yang menggunakan platform dan aplikasi terkait. Kerentanan ini memungkinkan penyerang untuk mengakses dan memanipulasi data serta fungsi perangkat dari jarak jauh tanpa otentikasi yang tepat.
Menguasai Lokasi dan Kontrol Kendaraan dari Jarak Jauh
Dampak paling mengkhawatirkan dari kerentanan ini adalah kemampuan bagi penyerang untuk melacak lokasi kendaraan secara real-time dan melihat riwayat perjalanan lengkap. Lebih jauh lagi, celah ini memungkinkan penyerang untuk mengontrol fitur kendaraan tertentu dari jarak jauh, seperti memutus suplai bahan bakar atau menonaktifkan sistem pengapian. Hal ini tidak hanya mengancam aset kendaraan tetapi juga dapat membahayakan keselamatan pengemudi jika dieksploitasi saat kendaraan sedang bergerak.
Akses Data Pribadi dan Informasi Sensitif
Selain kontrol kendaraan, kerentanan pada sistem SinoTrack juga mengekspos data pribadi pengguna. Penyerang dapat mengakses informasi sensitif seperti nama lengkap, alamat email, nomor telepon, dan detail spesifik kendaraan yang terkait dengan akun pengguna. Potensi pelanggaran data ini menambah lapisan risiko privasi yang serius bagi para pengguna.
Jenis Kerentanan yang Ditemukan
Peneliti mengidentifikasi serangkaian kerentanan, termasuk bypass otentikasi API yang memungkinkan akses tanpa kredensial, otentikasi dan otorisasi yang rusak, Insecure Direct Object Reference (IDOR) yang memungkinkan akses data pengguna lain, pengungkapan informasi, dan Cross-Site Request Forgery (CSRF). Kombinasi kelemahan ini menciptakan jalur serangan yang komprehensif.
Skala Dampak dan Status Perbaikan Vendor
Diperkirakan ratusan ribu perangkat SinoTrack digunakan secara global, yang berarti jumlah pengguna yang berpotensi terdampak sangat besar. Meskipun vendor telah diberitahu mengenai kerentanan ini, respons dan status perbaikan dilaporkan terbatas atau belum jelas. Situasi ini menyoroti tantangan dalam keamanan IoT dan perlunya vendor mengambil tindakan cepat dan transparan untuk melindungi basis pengguna mereka dari potensi eksploitasi. Pemilik perangkat ini disarankan untuk waspada terhadap risiko yang ada.
Sumber: https://securityaffairs.com/178922/security/sinotrack-gps-device-flaws-allow-remote-vehicle-control-and-location-tracking.html