Właściciel samochodu odkrył lukę w zabezpieczeniach aplikacji Volkswagen

Volodymyr Kolominov
26.05.2025, 08:21
Właściciel samochodu odkrył lukę w zabezpieczeniach aplikacji Volkswagen
Aplikacja Volkswagen. Źródło: Volkswagen

Ekspert ds. bezpieczeństwa informacji Vishal Bhaskar odkrył krytyczną lukę w aplikacji My Volkswagen, dzięki której przestępcy mogliby uzyskać dostęp do danych osobowych właścicieli samochodów, znając jedynie numer identyfikacyjny pojazdu (VIN). Luka dotyczyła tylko indyjskiej wersji aplikacji i w tej chwili firma Volkswagen już ją usunęła.

Co wiadomo

Bhaskar natknął się na problem przypadkowo, jako zwykły właściciel samochodu. Kupił używany samochód i próbował się z nim połączyć za pomocą aplikacji. Jednak jednorazowy kod (OTP) potrzebny do potwierdzenia został wysłany na e-mail poprzedniego właściciela. Nie mogąc szybko się z nim skontaktować, Bhaskar zaczął analizować żądania API aplikacji i odkrył, że nie ma blokady za niewłaściwe wprowadzenie hasła.

Badacz napisał skrypt, który testował wszystkie możliwe czterocyfrowe kody. W ciągu kilku sekund hasło zostało znalezione i uzyskał dostęp do danych pojazdu. Do tego Bhaskar potrzebował tylko VIN, który można swobodnie zobaczyć przez przednią szybę.

Na tym nie poprzestał i kontynuował badania. Jego zdaniem, jeden z końców API zwracał loginy, hasła i tokeny do różnych usług Volkswagena w otwartej postaci. Przez inny uzyskał dostęp do danych o serwisowaniu, w tym zawartych umowach, informacji o płatnościach oraz danych osobowych właścicieli — imion, numerów telefonów, adresów i e-maili.

W szczególności niepokojące okazało się to, że przez niektóre końce API można było uzyskać dane telematyczne samochodów, w tym ich aktualną geolokalizację. W niektórych przypadkach w bazie przechowywane były nawet informacje dotyczące danych prawa jazdy oraz kontaktów w nagłych wypadkach. Jak podkreślił Bhaskar, rozmiar luk był „nadzwyczaj poważny”.

Badacz skontaktował się z Volkswagenem z raportem o znalezionych lukach w listopadzie 2024 roku. Jego zdaniem początkowo było trudno znaleźć odpowiednich przedstawicieli, ale cztery dni po pierwszym liście firma wysłała potwierdzenie odbioru. W maju 2025 roku otrzymał oficjalne potwierdzenie, że wszystkie odkryte luki zostały usunięte.

Źródło: Loopsec/Medium

var _paq = window._paq = window._paq || []; _paq.push(['trackPageView']); _paq.push(['enableLinkTracking']); (function() { var u='//mm.magnet.kiev.ua/'; _paq.push(['setTrackerUrl', u+'matomo.php']); _paq.push(['setSiteId', '2']); var d=document, g=d.createElement('script'), s=d.getElementsByTagName('script')[0]; g.async=true; g.src=u+'matomo.js'; s.parentNode.insertBefore(g,s); })();