Abonneer je op ons YouTube-kanaal ×

Autobezitter ontdekt beveiligings kwetsbaarheid in de Volkswagen-app

Via: Volodymyr Kolominov | 26.05.2025, 09:21
Hoe Volkswagen zijn auto-apps verbetert Volkswagen-app. Bron: Volkswagen

Informatiebeveiligingsexpert Vishal Bhaskar heeft een kritieke kwetsbaarheid ontdekt in de My Volkswagen-app, die aanvallers in staat zou kunnen stellen om persoonlijke gegevens van autobezitters te openen met alleen het voertuigidentificatienummer (VIN). De kwetsbaarheid werd alleen in de Indiase versie van de app aangetroffen en Volkswagen heeft deze inmiddels verholpen.

Dit weten we

Bhaskar ontdekte het probleem toevallig als gewone autobezitter. Hij kocht een tweedehands auto en probeerde deze via de app te verbinden. De eenmalige wachtwoord (OTP) die nodig was voor bevestiging, bleek echter naar het e-mailadres van de vorige eigenaar te zijn gestuurd. Omdat hij deze niet tijdig kon contacteren, begon Bhaskar de API-aanvragen van de app te analyseren en ontdekte dat er geen vergrendeling was voor onjuiste wachtwoordinvoer.

De onderzoeker schreef een script dat door alle mogelijke viercijferige codes zocht. In slechts enkele seconden werd het wachtwoord gevonden en kon hij toegang krijgen tot de gegevens van de auto. Hiervoor had Bhaskar alleen het VIN nodig, dat vrijelijk door de voorruit kon worden gezien.

Hij stopte daar niet en vervolgde zijn onderzoek. Volgens hem gaf een van de API-eindpunten in het duidelijk de logins, wachtwoorden en tokens naar een aantal Volkswagen-diensten terug. Via een ander had hij toegang tot servicedata, waaronder ondertekende contracten, betalingsinformatie en persoonlijke gegevens van eigenaren - namen, telefoonnummers, adressen en e-mails.

Bijzonder verontrustend was het feit dat er via sommige eindpunten telematicagegevens van voertuigen, inclusief hun huidige geolocatie, konden worden opgehaald. In sommige gevallen bevatte de database zelfs informatie over rijbewijsgegevens en noodcontacten. Zoals Bhaskar benadrukte, was de omvang van de kwetsbaarheden "extreem ernstig".

De onderzoeker benaderde Volkswagen met een rapport over de gevonden kwetsbaarheden in november 2024. Het was aanvankelijk moeilijk om de juiste vertegenwoordigers te vinden, zei hij, maar vier dagen na de eerste e-mail stuurde het bedrijf een ontvangstbevestiging. In mei 2025 ontving hij officiële bevestiging dat alle gevonden kwetsbaarheden waren verholpen.

Bron: Loopsec/Medium

Auto's beveiliging
Laatste nieuws
Laatste beoordelingen
Laatste artikelen