Bilejere opdager sikkerhedssvaghed i Volkswagen-app

Af : Volodymyr Kolominov | 26.05.2025, 08:21
Hvordan Volkswagen forbedrer sine bilapps Volkswagen-app. Nyhedskilde: Volkswagen

Informationssikkerhedsekspert Vishal Bhaskar har opdaget en kritisk sårbarhed i My Volkswagen-app, som kunne tillade angribere at få adgang til personlige data fra bilejere med blot bilens identifikationsnummer (VIN). Sårbarheden påvirkede kun den indiske version af appen, og Volkswagen har nu rettet den.

Her's hvad vi ved

Bhaskar stødte på problemet ved en tilfældighed som en almindelig bilejer. Han købte en brugt bil og forsøgte at oprette forbindelse til den gennem appen. Dog viste den engangskode (OTP), der var nødvendig for bekræftelse, sig at blive sendt til den tidligere ejers e-mail. Uden mulighed for at kontakte ham hurtigt, begyndte Bhaskar at analysere appens API-forespørgsler og fandt ud af, at der ikke var nogen udelukkelse for forkert indtastning af kodeord.

Forskeren skrev et script, der søgte gennem alle mulige firecifrede koder. På kun få sekunder blev kodeordet fundet, og han kunne få adgang til bilens data. For dette havde Bhaskar kun brug for VIN, som kan ses frit gennem forruden.

Han stoppede ikke der og fortsatte sin forskning. Ifølge ham returnerede en af API-endepunkterne logins, adgangskoder og tokens til en række Volkswagen-tjenester i klar tekst. Gennem en anden fik han adgang til servicedata, herunder underskrevne kontrakter, betalingsinformation og ejernes personlige oplysninger - navne, telefonnumre, adresser og e-mails.

Særligt alarmerende var det faktum, at oplysninger om telematikdata for køretøjer, herunder deres nuværende geolocation, kunne hentes gennem nogle endepunkter. I nogle tilfælde gemte databasen endda oplysninger om kørekortdetaljer og nødkontakter. Som Bhaskar understregede, var omfanget af sårbarhederne "ekstremt alvorligt".

Forskeren kontaktede Volkswagen med en rapport om de sårbarheder, der blev fundet i november 2024. Det var initialt svært at finde de rigtige repræsentanter, sagde han, men fire dage efter den første e-mail sendte virksomheden en kvittering for modtagelsen. I maj 2025 fik han officiel bekræftelse på, at alle de fundne sårbarheder var blevet rettet.

Kilde: Loopsec/Medium

Biler sikkerhed
Seneste nyheder
Seneste anmeldelser
Seneste artikler