Vlasnik Volkswagen-a koji se bavi tehnologijom nedavno je otkrio kritične sigurnosne mane u aplikaciji My Volkswagen, što je potencijalno izložilo osjetljive osobne podatke i informacije o vozilima tisuća kupaca. Ova situacija ukazuje na ozbiljne probleme u vezi s digitalnom sigurnošću u automobilskoj industriji, koja sve više ovisi o povezanosti i tehnologiji.
Ranjivosti, koje su od tada otklonjene, omogućile su bilo kome tko ima pristup VIN broju vozila da preuzme sveobuhvatne podatke o vlasniku, servisne zapise i potencijalno kontrolira povezane značajke bez odobrenja. Ove informacije bi u krivim rukama mogle imati ozbiljne posljedice za privatnost i sigurnost korisnika.
Sigurnosni istraživač otkrio je ranjivosti 2024. godine nakon što je kupio unaprijed vlasništvo Volkswagen vozila. Tijekom instalacije aplikacije My Volkswagen, naišao je na problem kada je četveroznamenkasta provjera OTP-a poslana na telefon prethodnog vlasnika. Nakon neuspjelih pokušaja kontaktiranja bivšeg vlasnika, istraživač je primijetio da aplikacija nije implementirala mehanizme zaključavanja računa nakon više pogrešnih unosa OTP-a.
Korištenjem burp-aplikacije za presretanje mrežnog prometa i prilagođene Python skripte za sustavno testiranje svih 10.000 mogućih kombinacija, uspio je zaobići postupak provjere. Skripta je brzo pronašla valjani kod, omogućujući mu puni pristup vozilu u aplikaciji.
Ovaj napad silom pokazao je temeljnu slabost provjere autentičnosti koja bi mogla omogućiti neovlaštenim osobama pristup bilo kojem Volkswagen vozilu u sustavu.
Izloženost osobnim podacima putem VIN broja
Nakon uspješne provjere autentičnosti, istraživač je otkrio niz kritičnih ranjivosti API-ja. Ispitujući mrežni promet aplikacije, identificirali su krajnje točke koje su procurile opsežne korisničke podatke dostupne samo VIN brojem vozila – informacije koje su vidljive kroz vjetrobransko staklo automobila.
Ubrzo je mogao pregledati sve zahtjeve koje je aplikacija slala putem interneta. Dok je pretraživao ove zahtjeve tražeći svoj OTP, otkrio je nekoliko drugih zanimljivih API poziva. Izložene informacije uključivale su puna imena vlasnika, brojeve telefona, adrese e-pošte, fizičke adrese, detalje o vozilu te zapise o uslugama.
Osim toga, neke krajnje točke otkrile su vjerodajnice unutarnjeg sustava u ClearText-u, uključujući kompletnu povijest usluga s povratnim informacijama kupaca, a u nekim slučajevima čak i brojeve vozačkih dozvola i kvalifikacije za obrazovanje. Ovo predstavlja značajno kršenje privatnosti koje bi moglo otvoriti vrata za sofisticirane phishing napade i krađu identiteta.
Krajnje točke izložene lozinkama, tokenima i korisničkim imenima za razne interne usluge u ClearText-u uključivale su interne aplikacije, detalje o obradi plaćanja, pa čak i CRM alate poput Salesforce-a. Ove informacije bi mogle biti izuzetno korisne za napadače koji žele iskorištavati sigurnosne propuste.
Volkswagenova vremenska crta odgovora
U skladu s etičkim standardima, sigurnosni istraživač odgovorno je prijavio nalaze Volkswagenovom sigurnosnom timu 23. studenoga 2024. godine, nakon što je pronašao odgovarajući kontakt putem datoteke tvrtke Security.Txt. Tvrtka je priznala izvješće unutar četiri dana, što je pokrenulo tromjesečni postupak sanacije.
Komunikacija se nastavila tijekom početka 2025. godine, a Volkswagen je zatražio od istraživača da potpiše NDA 3. travnja kako bi omogućio detaljnije tehničke rasprave. Do 6. svibnja 2025. godine, Volkswagen je potvrdio da su sve identificirane ranjivosti uspješno zakrpane, baveći se ozbiljnim brigama za privatnost.
Iako istraživač nije dobio financijsku nagradu za svoj trud, izrazio je zadovoljstvo što je pridonio poboljšanoj sigurnosti za korisnike Volkswagen-a. Ovaj incident naglašava važnost robusnih mehanizama provjere autentičnosti i odgovarajuće sigurnosti API-ja u značajkama automobilske povezanosti, posebno s obzirom na to da vozila postaju sve više integrirana s digitalnim uslugama.
Smatrajte da je ova vijest zanimljiva! Slijedite nas dalje Google News, LinkedIn & X da biste dobili trenutna ažuriranja!
