Kihasznált My Volkswagen alkalmazás
A LoopSec kutatója súlyos sebezhetőségeket fedezett fel a Volkswagen mobilalkalmazásában, amelyek lehetővé tették illetéktelenek számára, hogy hozzáférjenek járművekhez és azok tulajdonosainak személyes adataihoz. A kutató az alkalmazás által használt egyszer használatos, négyjegyű PIN-kód védelmét brute-force támadással kijátszotta, mivel a rendszer nem korlátozta a hibás próbálkozások számát, így megfelelő eszközökkel viszonylag gyorsan ki lehetett találni a megfelelő kódot. Ezen keresztül sikerült irányítást szereznie egy használt járműhöz tartozó fiók fölött.
A My Volkswagen mobilalkalmazás API-kommunikációjának vizsgálata során világosan olvasható formában kerültek elő belső hitelesítő adatok, többek között Salesforce-fiókhoz tartozó felhasználónév, jelszó és hozzáférési token, ami súlyos belső adatbiztonsági problémára utal. Ezen kívül a rendszer lehetőséget adott arra, hogy egy jármű alvázszámának (VIN) ismeretében hozzá lehessen férni a tulajdonos nevéhez, címéhez, e-mail-címéhez, telefonszámához, valamint a jármű technikai adataihoz. Egy másik végponton keresztül az is kiderült, hogy a szerviztörténet, beleértve a karbantartás időpontját, típusát, költségeit és az ügyfél visszajelzését, szintén lekérdezhető volt az alvázszám alapján.
A kutató a felfedezett problémákat felelősségteljes módon jelentette a Volkswagennél, amely ezután lezárta az érintett API végpontokat és megszüntette a sérülékenységek kihasználhatóságát.
