Obrovská chyba u aplikace Volkswagenu. Hackeři měli dveře dokořán
Majitel vozidla od Volkswagenu odhalil závažnou chybu. Aplikace „My Volkswagen“ umožnila přístup k datům předchozího vlastníka jen pomocí VIN a kódu.
Majitel vozu Volkswagen se nestačil divit
Jeden z majitelů automobilu Volkswagen se při nastavování mobilní aplikace „My Volkswagen“ setkal s nečekaným problémem. Aplikace při ověřování účtu odeslala čtyřmístný kód na telefon předchozího majitele. Pokusy o kontakt ale byly neúspěšné a tak se nový vlastník rozhodl vzít ověřovací proces do vlastních rukou.
Majitel vozu, který je pokročilým uživatelem výpočetní techniky, zjistil, že aplikace neobsahuje žádnou ochranu proti vícenásobnému zadávání přihlašovacího kódu. Vytvořil tedy jednoduchý skript, který pomocí nástroje Burp Suite postupně otestoval všech 10 000 kombinací čtyřmístného kódu. Následně se úspěšně přihlásil do účtu a získal přístup k řadě citlivých údajů předchozího vlastníka vozu.
Po úspěšném přihlášení byly odhaleny závažné bezpečnostní nedostatky. Aplikace umožňovala pomocí pouhého VIN čísla (které je viditelné přes čelní sklo auta) získat jméno, adresu, e-mail, telefonní číslo a další osobní údaje majitelů. Program také obsahuje servisní historii vozu, včetně hodnocení služeb a dokonce čísla řidičských průkazů či informace o vzdělání předchozích majitelů.
V potenciálním ohrožení byly tisíce uživatelů
Zmíněné nedostatky ohrožovaly nejen jednoho uživatele, ale potenciálně tisíce majitelů vozů koncernu Volkswagen. Mnohé části aplikace dokonce obsahovaly přihlašovací údaje k dalším systémům v prostém textu. K datům se tak mohl dostat prakticky kdokoli s patřičnými technickými znalostmi.
Automobilka chybu uznala
Společnost Volkswagen byla na chyby upozorněna a podle dostupných informací je uznala. Automobilka také na začátku května potvrdila, že identifikované problémy byly úspěšně opraveny a uživatelé nemusí mít obavy z vyzrazení citlivých údajů.
Moderní auto je počítač na kolech
Incident ukazuje, že moderní vozidla nejsou jen mechanické stroje, ale digitálně propojené systémy, které mohou být stejně zranitelné jako počítače nebo chytré telefony. Odborníci při používání mobilních aplikací spojených s vozem doporučují obezřetnost a pravidelnou kontrolu aktualizací softwaru.
Zdroj: gbhackers
Autor článku
Petr má rád všechny nové technologie, nejvíc ty spojené s cestováním, výkonem a rychlostí. Baví ho, když v nich nechybí špetka adrenalinu. Sleduje novinky, které posouvají zážitky z pohybu.
Petr má rád všechny nové technologie, nejvíc ty spojené s cestováním, výkonem a rychlostí. Baví ho, když v nich nechybí špetka adrenalinu. Sleduje novinky, které posouvají zážitky z pohybu.
