Bileier oppdager sikkerhetsvulnerabilitet i Volkswagen-appen

Av: Volodymyr Kolominov | 26.05.2025, 09:21
Hvordan Volkswagen forbedrer sine bilapper Volkswagen-appen. Kilde: Volkswagen

Informasjonssikkerhetsekspert Vishal Bhaskar har oppdaget en kritisk sårbarhet i My Volkswagen-appen, som kan tillate angripere å få tilgang til personopplysninger om bileiere med bare bilens identifikasjonsnummer (VIN). Sårbarheten ble kun påvirket av den indiske versjonen av appen, og Volkswagen har nå fikset dette.

Dette vet vi

Bhaskar kom over problemet ved en tilfeldighet som en vanlig bileier. Han kjøpte en brukt bil og prøvde å koble seg til den gjennom appen. Imidlertid ble engangpassordet (OTP) som var nødvendig for bekreftelse sendt til den tidligere eierens e-post. Uten å kunne kontakte ham raskt, begynte Bhaskar å analysere appens API-forespørslser og oppdaget at det ikke var noen låsing for feil passordinnskrivning.

Forskeren skrev et skript som søkte gjennom alle mulige fire-sifrede koder. På bare noen få sekunder ble passordet funnet, og han fikk tilgang til bilens data. For dette trengte Bhaskar bare VIN, som fritt kan sees gjennom frontruten.

Han stoppet ikke der og fortsatte forskningen sin. Ifølge ham returnerte en av API-endepunktene påloggingsopplysninger, passord og tokens til en rekke Volkswagen-tjenester i klartekst. Gjennom et annet fikk han tilgang til servicdata, inkludert signerte kontrakter, betalingsinformasjon og bileieres personopplysninger - navn, telefonnumre, adresser og e-poster.

Særlig alarmerende var det faktum at gjennom noen endepunkter kunne telematikkdata om kjøretøy, inkludert deres nåværende geolokasjon, hentes. I noen tilfeller lagret databasen til og med informasjon om førerkortdetaljer og nødnumre. Som Bhaskar fremhevet, var omfanget av sårbarhetene "ekstremt alvorlig".

Forskeren kontaktet Volkswagen med en rapport om de oppdagede sårbarhetene i november 2024. Det var innledningsvis vanskelig å finne de riktige representantene, sa han, men fire dager etter den første e-posten sendte selskapet en bekreftelse på mottak. I mai 2025 mottok han offisiell bekreftelse på at alle de oppdagede sårbarhetene var blitt fikset.

Kilde: Loopsec/Medium

Biler sikkerhet
Siste nytt
Siste anmeldelser
De siste artiklene