Bilejer upptäcker säkerhetsbrist i Volkswagen-appen

Av: Volodymyr Kolominov | 26.05.2025, 09:21
Hur Volkswagen förbättrar sina bilappar Volkswagen-appen. Källa: Volkswagen

Informationssäkerhetsexperten Vishal Bhaskar har upptäckt en kritisk sårbarhet i My Volkswagen-appen, som skulle kunna möjliggöra för angripare att få tillgång till personuppgifter för bilegare med bara fordonsidentifieringsnumret (VIN). Sårbarheten påverkade endast den indiska versionen av appen och Volkswagen har nu åtgärdat den.

Här är vad vi vet

Bhaskar snubblade över problemet av en slump som en vanlig bilejer. Han köpte en begagnad bil och försökte koppla upp sig till den via appen. Men engångslösenordet (OTP) som krävdes för bekräftelse visade sig skickas till den tidigare ägarens e-post. Oförmögen att kontakta honom snabbt började Bhaskar analysera appens API-förfrågningar och fann att det inte fanns någon låsning för felaktig lösenordsinmatning.

Forskaren skrev ett skript som sökte igenom alla möjliga fyrsiffriga koder. På bara några sekunder hittades lösenordet och han kunde få tillgång till bilens data. För detta behövde Bhaskar bara VIN, vilket fritt kan ses genom vindrutan.

Han stannade inte där utan fortsatte sin forskning. Enligt honom återvände en av API-endpunkterna inloggningar, lösenord och token till ett antal Volkswagen-tjänster i klar text. Genom en annan fick han tillgång till tjänstedata, inklusive signerade kontrakt, betalningsinformation och ägares personuppgifter - namn, telefonnummer, adresser och e-post.

Speciellt alarmerande var det faktum att genom vissa endpunkter kunde telematikdata för fordon, inklusive deras aktuella geolokalisering, samlas in. I vissa fall lagrade databasen till och med information om körkort och nödkontakter. Som Bhaskar betonade var omfattningen av sårbarheterna "extremt allvarlig".

Forskaren kontaktade Volkswagen med en rapport om de sårbarheter som upptäckts i november 2024. Det var initialt svårt att hitta rätt representanter, sade han, men fyra dagar efter det första e-postmeddelandet skickade företaget en bekräftelse på mottagande. I maj 2025 fick han officiell bekräftelse på att alla de funna sårbarheterna hade åtgärdats.

Källa: Loopsec/Medium

Bilar säkerhet
Senaste nytt
Senaste recensioner
Senaste artiklar