Ooopss… mobile app Android Tesla menyimpan token otentikasi dalam bentuk teks tanpa enkripsi

Jika suatu saat nanti mobil Tesla sudah banyak berkeliaran di Indonesia, mungkin ada baiknya pemiliknya memasang kunci ganda 🙂 . Sebuah firma keamanan Promon dari Norwegia menunjukkan bagaimana cara untuk mencuri sebuah mobil Tesla dengan memanfaatkan celah keamanan pada aplikasi Android Tesla yang digunakan untuk berinteraksi dengan mobil Tesla.

Tesla Model S - tesla.com

Aplikasi mobil Tesla ketika pertama di-instalasikan pada sebuah smartphone, pertama-tama akan menanyakan username dan password yang diinginkan pemilik mobil. Lalu kombinasi username dan password ini akan dipergunakan untuk membuat token otentikasi (OAuth) sehingga pada penggunanya tidak perlu lagi memasukkan username dan password setiap kali membuka aplikasi Tesla. Token ini akan disimpan selama 90 hari saja dan setelah waktu itu, pengguna diharuskan memasukkan kembali username dan password dimana aplikasi akan otomatis membuat token baru. Terlihat aman bukan?

Uhm, tunggu dulu… bagaimana jika ternyata informasi token tersebut disimpan tanpa enkripsi? kesalahan “kecil” seperti ini sudah pasti membuat para hacker tersenyum manis. Dengan bermodalkan aplikasi malware yang diinstalasikan pada smartphone Android melalui social engineering, para peneliti keamanan di Promon menunjukkan betapa mudahnya untuk mengambil data token dan password untuk dapat menjalankan mobil Tesla dan membawanya pergi.

Menurut Promon, dua pihak patut disalahkan dalam celah keamanan kali ini. Pihak Tesla patut disalahkan karena tidak meng-enkripsi token OAuth pada smartphone Android pemilik mobilnya, namun pihak pembuat smartphone atau provider juga patut disalahkan karena tidak secara rutin mengupdate software Android pada smartphone yang mereka jual, padahal pihak Google sendiri sudah secara rutin selalu menutup setiap celah keamanan berbahaya dengan patch dan update yang disediakan.

Bagaimana cara para “hacker” ini mengambil alih mobil Tesla? saksikan video nya di bawah ini:

(sumber: Promon via BleepingComputer)

Iklan

Tinggalkan Balasan

Isikan data di bawah atau klik salah satu ikon untuk log in:

Logo WordPress.com

You are commenting using your WordPress.com account. Logout /  Ubah )

Foto Google+

You are commenting using your Google+ account. Logout /  Ubah )

Gambar Twitter

You are commenting using your Twitter account. Logout /  Ubah )

Foto Facebook

You are commenting using your Facebook account. Logout /  Ubah )

Connecting to %s