Парадокс сверхтонких смартфонов: почему все продают, но никто не покупает ×

Владелец автомобиля обнаружил уязвимость безопасности в приложении Volkswagen

Автор: Владимир Коломинов, 26 мая 2025, 09:21
Как Volkswagen совершенствует свои приложения для автомобилей Приложение Volkswagen. Источник: Volkswagen

Эксперт по информационной безопасности Вишал Бхаскар (Vishal Bhaskar) обнаружил критическую уязвимость в приложении My Volkswagen, с помощью которой злоумышленники могли бы получить доступ к личным данным владельцев автомобилей, зная лишь идентификационный номер транспортного средства (VIN). Уязвимость затрагивала только индийскую версию приложения, и на данный момент компания Volkswagen уже её устранила.

Что известно

Бхаскар наткнулся на проблему случайно, как обычный автовладелец. Он приобрёл подержанный автомобиль и попытался подключиться к нему через приложение. Однако одноразовый пароль (OTP), необходимый для подтверждения, оказался отправлен на электронную почту прежнего владельца. Не сумев оперативно связаться с ним, Бхаскар начал анализ API-запросов приложения и обнаружил, что блокировки за неправильный ввод пароля не предусмотрено.

Исследователь написал скрипт, который перебирал все возможные четырёхзначные коды. Всего за несколько секунд пароль был найден и он получил доступ к данным автомобиля. Для этого Бхаскару понадобился лишь VIN, который можно свободно увидеть через лобовое стекло.

На этом он не остановился и продолжил исследование. По его словам, один из API-эндпоинтов возвращал логины, пароли и токены к ряду сервисов Volkswagen в открытом виде. Через другой он получил доступ к данным о сервисном обслуживании, включая заключённые контракты, платёжную информацию, а также личные данные владельцев — имена, номера телефонов, адреса и электронную почту.

Особенно тревожным оказалось то, что через некоторые эндпоинты можно было получить телематические данные автомобилей, включая их текущую геолокацию В отдельных случаях в базе хранились даже сведения о данных водительских удостоверений и контактных лиц на случай чрезвычайной ситуации. Как подчеркнул Бхаскар, масштабы уязвимостей были «чрезвычайно серьёзными».

Исследователь обратился в Volkswagen с отчётом о найденных уязвимостях в ноябре 2024 года. По его словам, сначала было сложно найти нужных представителей, но спустя четыре дня после первого письма компания прислала подтверждение о получении. В мае 2025 года он получил официальное подтверждение, что все обнаруженные уязвимости были устранены.

Источник: Loopsec/Medium

Подписывайтесь на наш нескучный канал в Telegram, чтобы ничего не пропустить.

Автомобили Автомобили Volkswagen безопасность