Hassas bilgilere erişim
Volkswagen Uygulaması: Yabancı araç verileri görünürdü
20 Mayıs 2025 – 15:19Okuma Süresi: 2 dakika.
ID.7 (ön) Volkswagen uygulaması kullanılarak sahibi tarafından izlenebilir. (Arşiv Görüntüsü) (Kaynak: Moritz Frankenberg/DPA/DPA resimleri)
Bir güvenlik araştırmacısı Volkswagen uygulamasında zayıflıkları ortaya çıkardı. Uygulama, otomobil sahiplerinden hassas verileri görüntülemek mümkün oldu.
Resmi Volkswagen uygulamasındaki ciddi boşluklar: ABD güvenlik sağlayıcısı Crowdstrike'den araştırmacı Vishal Bhaskar, uygulamada saldırganların hassas araç ve müşteri verilerine erişebildiği zayıflıklar buldu. BT uzmanı bunu kişisel blogunda yazıyor.
Orada bildirdiği gibi, bilgilere erişmek için sadece herhangi bir otomobilin araç kimlik numarası (FIN) gerekliydi. Sayı, ön cam tarafından araçlar üzerindeki okunabilir.
Saldırıyı kendi aracıyla test etti. İOS için Volkswagen uygulamasında Fin'i girdikten sonra, bu dört haneli bir tek şifre (OTP) talep etmişti. Ancak, şifre arabasının önceki sahibine gönderildi. Buna ulaşmadığı için rastgele sayı kombinasyonlarını test etti.
Uygulama sayısız başarısız denemeyi onayladığından, Bhaskar, 10.000 olası kombinasyonun hepsini deneyen otomatik olarak çalışan bir program – SO -So -So -Called Script – programladı. Sonuçta, teorik olarak başka bir VW otomobiliyle çalışacak doğru sayılar kombinasyonunu aldı.
Bu ciddi zayıf noktayı bulduktan sonra, Volkswagen uygulamasını daha fazla boşluk için inceledi ve ayrıca buldu. VW hizmetleri için şifreler, jetonlar ve kullanıcı adları gibi dahili erişim verilerini bunlardan biri aracılığıyla almış olabilir.
Güvenlik Araştırmacısına, Hizmet ve Bakım Paketlerine Fin aracılığıyla Adı, Adres, Telefon Numarası ve E -posta ile erişmek de mümkün oldu. Buna ek olarak, yakıt istatistikleri, konum reklamları ve araç sahibinden acil durum kontakları gibi bilgiler görüldü.
Bhaskar 23 Kasım 2024'te 23 Kasım 2024'te Volkswagen'e bildirdi. Yaklaşık dört gün sonra ilk cevap aldı. Otomotiv grubunun güvenlik ekibi ile daha fazla değişimi “hoş ve tepki hızlı” olarak tanımlıyor.
Bhaskar tarafından 28 Nisan 2025 tarihli LinkedIn profesyonel ağında yayınlanan bir mektupta Volkswagen, grubun uygulamalarının ve arka uç altyapısının güncellendiğini ve araştırmacı tarafından keşfedilen tüm zayıflıkların giderildiğini söyledi. Bhaskar, bazen güvenlik boşluklarını keşfetmede olduğu gibi bir ödül almamıştır.
Volkswagen Uygulaması: Yabancı araç verileri görünürdü
20 Mayıs 2025 – 15:19Okuma Süresi: 2 dakika.
ID.7 (ön) Volkswagen uygulaması kullanılarak sahibi tarafından izlenebilir. (Arşiv Görüntüsü) (Kaynak: Moritz Frankenberg/DPA/DPA resimleri)
Bir güvenlik araştırmacısı Volkswagen uygulamasında zayıflıkları ortaya çıkardı. Uygulama, otomobil sahiplerinden hassas verileri görüntülemek mümkün oldu.
Resmi Volkswagen uygulamasındaki ciddi boşluklar: ABD güvenlik sağlayıcısı Crowdstrike'den araştırmacı Vishal Bhaskar, uygulamada saldırganların hassas araç ve müşteri verilerine erişebildiği zayıflıklar buldu. BT uzmanı bunu kişisel blogunda yazıyor.
Orada bildirdiği gibi, bilgilere erişmek için sadece herhangi bir otomobilin araç kimlik numarası (FIN) gerekliydi. Sayı, ön cam tarafından araçlar üzerindeki okunabilir.
Saldırıyı kendi aracıyla test etti. İOS için Volkswagen uygulamasında Fin'i girdikten sonra, bu dört haneli bir tek şifre (OTP) talep etmişti. Ancak, şifre arabasının önceki sahibine gönderildi. Buna ulaşmadığı için rastgele sayı kombinasyonlarını test etti.
Uygulama sayısız başarısız denemeyi onayladığından, Bhaskar, 10.000 olası kombinasyonun hepsini deneyen otomatik olarak çalışan bir program – SO -So -So -Called Script – programladı. Sonuçta, teorik olarak başka bir VW otomobiliyle çalışacak doğru sayılar kombinasyonunu aldı.
Bu ciddi zayıf noktayı bulduktan sonra, Volkswagen uygulamasını daha fazla boşluk için inceledi ve ayrıca buldu. VW hizmetleri için şifreler, jetonlar ve kullanıcı adları gibi dahili erişim verilerini bunlardan biri aracılığıyla almış olabilir.
Güvenlik Araştırmacısına, Hizmet ve Bakım Paketlerine Fin aracılığıyla Adı, Adres, Telefon Numarası ve E -posta ile erişmek de mümkün oldu. Buna ek olarak, yakıt istatistikleri, konum reklamları ve araç sahibinden acil durum kontakları gibi bilgiler görüldü.
Bhaskar 23 Kasım 2024'te 23 Kasım 2024'te Volkswagen'e bildirdi. Yaklaşık dört gün sonra ilk cevap aldı. Otomotiv grubunun güvenlik ekibi ile daha fazla değişimi “hoş ve tepki hızlı” olarak tanımlıyor.
Bhaskar tarafından 28 Nisan 2025 tarihli LinkedIn profesyonel ağında yayınlanan bir mektupta Volkswagen, grubun uygulamalarının ve arka uç altyapısının güncellendiğini ve araştırmacı tarafından keşfedilen tüm zayıflıkların giderildiğini söyledi. Bhaskar, bazen güvenlik boşluklarını keşfetmede olduğu gibi bir ödül almamıştır.