Парадокс надтонких смартфонів: чому всі продають, але ніхто не купує ×
Українська версія gg виходить за підтримки маркетплейсу Allo

Власник автомобіля виявив уразливість безпеки в застосунку Volkswagen

Автор: Володимир Коломінов | 26 травня 2025, 10:34
Як Volkswagen удосконалює свої додатки для автомобілів Застосунок Volkswagen. Джерело: Volkswagen

Експерт з інформаційної безпеки Вішал Бхаскар (Vishal Bhaskar) виявив критичну вразливість у застосунку My Volkswagen, за допомогою якої зловмисники могли б отримати доступ до особистих даних власників автомобілів, знаючи лише ідентифікаційний номер транспортного засобу (VIN). Вразливість зачіпала тільки індійську версію застосунку, і наразі компанія Volkswagen вже її усунула.

Що відомо

Бхаскар натрапив на проблему випадково, як звичайний автовласник. Він придбав вживаний автомобіль і спробував під'єднатися до нього через застосунок. Однак одноразовий пароль (OTP), необхідний для підтвердження, було відправлено на електронну пошту колишнього власника. Не зумівши оперативно зв'язатися з ним, Бхаскар почав аналіз API-запитів програми та виявив, що блокування за неправильне введення пароля не передбачено.

Дослідник написав скрипт, який перебирав усі можливі чотиризначні коди. Усього за кілька секунд пароль був знайдений, і він отримав доступ до даних автомобіля. Для цього Бхаскару знадобився лише VIN, який можна вільно побачити через лобове скло.

На цьому він не зупинився і продовжив дослідження. За його словами, один з API-ендпоінтів повертав логіни, паролі та токени до низки сервісів Volkswagen у відкритому вигляді. Через інший він отримав доступ до даних про сервісне обслуговування, включно з укладеними контрактами, платіжною інформацією, а також особистими даними власників - іменами, номерами телефонів, адресами та електронною поштою.

Особливо тривожним виявилося те, що через деякі ендпоінти можна було отримати телематичні дані автомобілів, включно з їхньою поточною геолокацією. В окремих випадках у базі зберігалися навіть відомості про дані водійських посвідчень і контактних осіб на випадок надзвичайної ситуації. Як підкреслив Бхаскар, масштаби вразливостей були "надзвичайно серйозними".

Дослідник звернувся до Volkswagen зі звітом про знайдені вразливості в листопаді 2024 року. За його словами, спочатку було складно знайти потрібних представників, але через чотири дні після першого листа компанія надіслала підтвердження про отримання. У травні 2025 року він отримав офіційне підтвердження, що всі виявлені вразливості було усунуто.

Джерело: Loopsec/Medium

безпека
Читайте gg українською у Telegram
Останні новини
Останні огляди
Останні статті