Sikkerhetsekspert hacket Volkswagen-app med fritt tilgjengelige bilskiltnummer

I en detaljert artikkel på Medium.com beskriver en sikkerhetsekspert hvordan han kjøpte en brukt Volkswagen i 2024 og ønsket å koble bilen til Volkswagen-appen på mobiltelefonen sin. Appen krevde både bilens VIN-nummer og en firesifret engangskode. Men koden ble sendt til den tidligere eierens mobiltelefon, og gode råd var dyre.

Etter å ha forsøkt å kontakte den tidligere eieren uten hell, la artikkelforfatteren, som bare går under brukernavnet «LoopSec» på Medium.com, merke til at appen ikke begrenset antall forsøk på å taste inn den firesifrede koden. Dette gjorde ham begeistret, og ved hjelp av et enkelt skript kunne han systematisk teste alle de 10 000 mulige kombinasjonene. Og vips, etter kort tid fant det lille programmet hans den riktige koden, og han kunne se bilen sin i appen.

Men det burde ikke være så enkelt, og derfor begynte LoopSec å granske Volkswagens app, skriver han i artikkelen, som fortsetter med å beskrive de tre mest alvorlige sikkerhetsproblemene i Volkswagens systemer som han oppdaget i løpet av prosessen:

• Intern legitimasjon lå ute i klartekst, inkludert passord, tokens og brukernavn for interne systemer, betalingsopplysninger og CRM-verktøy som Salesforce (!).
• Bileiernes personlige informasjon var tilgjengelig via VIN-nummeret alene, inkludert navn, telefonnummer, postadresse, e-postadresse og bilinformasjon. Og VIN-nummeret kan leses av hvem som helst gjennom frontruten på bilen.
• Bilens servicehistorikk var også åpent tilgjengelig via VIN-nummeret, inkludert detaljer om utført arbeid under verkstedsbesøk, personlig kundeinformasjon og til og med resultater fra kundeundersøkelser.

Omfattende tilgang til sensitive data

I praksis betydde sikkerhetshullene at hvem som helst med kjennskap til bilens registreringsnummer kunne gjøre følgende:

• Legge til kjøretøyet i egen app
• Få tilgang til kjøretøyets posisjon i sanntid
• Se motorstatus, drivstoffdata og dekktrykk
• Få tilgang til geofencing-kontroll og andre funksjoner
• Få personlig informasjon om eieren, for eksempel hjemmeadresse, telefonnummer og e-post
• Se bilens fullstendige servicehistorikk og tidligere reklamasjoner

Forestill deg stalkere eller kriminelle bevæpnet med disse dataene. De kan enkelt finne ut hvor du befinner deg i sanntid, hjemmeadressen din, stedene du besøker, telefonnummeret ditt, e-postadressen din – listen er uendelig lang», advarer LoopSec.

Annonse

Det tok fem måneder å finne en løsning

Han rapporterte sårbarhetene til Volkswagens sikkerhetsteam 23. november 2024, og etter å ha funnet riktig kontaktperson via Volkswagens security.txt-fil, mottok han en bekreftelse fire dager senere.

I løpet av de neste tre månedene utvekslet de flere oppfølgings-e-poster, og Volkswagens sikkerhetsteam var svært lydhøre gjennom hele prosessen, opplyser LoopSec.

Den 3. april 2025 foreslo teamet en taushetserklæring (NDA) som gjorde det mulig for dem å dele tekniske detaljer og interne utbedringsplaner. Den 6. mai 2025 mottok sikkerhetseksperten vår bekreftelse på at sårbarhetene var utbedret.

 

Dette er langt fra første gang Volkswagen-konsernet har opplevd alvorlige sikkerhetsbrudd. I slutten av 2024 ble det avslørt at det var en enkel inngang via Bluetooth til kjørecomputeren i Skoda-modeller.

Enda mer alarmerende var en massiv datalekkasje (funnet av den tyske hackergruppen Chaos Computer Club) fra Volkswagens programvaredatterselskap Cariad tidligere i år, som eksponerte personopplysningene til rundt 600 000 brukere og lekket 9,5 TB telemetridata fra 800 000 kjøretøy med nøyaktige GPS-koordinater.

Kia og Tesla har hatt lignende problemer

Sikkerhetsproblemer i digitale systemer i bilindustrien er ikke noe som bare rammer Volkswagen-konsernet:

Hyundai og Kia har tidligere opplevd sårbarheter der sikkerhetsforskere har demonstrert at biler kan «fjernstyres» ved hjelp av enkle nettbaserte hackerangrep.

Og Tesla har opplevd at forskere har fått tilgang til programvaren i Autopilot-systemet og kompromittert infotainmentsystemet via bilens LTE-tilkoblingskort.

Slik beskytter du deg som Volkswagen-eier

Selv om Volkswagen nå har tettet de spesifikke sårbarhetene i systemene sine, anbefaler LoopSec at VW-eiere dekker til VIN-koden når de parkerer offentlig og holder appen oppdatert med de nyeste sikkerhetsoppdateringene.

Det er også alltid en god idé å være oppmerksom på mistenkelige anrop fra personer som utgir seg for å være fra forhandleren eller forsikringsselskapet.

Volkswagen har ikke kommentert om sikkerhetshullene vil få andre konsekvenser, eller hvordan de vil sikre bedre beskyttelse av kundedata i fremtiden utover de spesifikke feilrettingene.