Laut einem Bericht auf medium.com gelang es einem frustrierten VW-Gebrauchtwagen Käufer sich in die MyVolkgswagen App zu hacken, nachdem diese auf den Vorbesitzer registriert war und eine Änderung der Registrierung nicht ohne diesen möglich schien. Dabei fand dieser die folgenden Schwachstellen und nutzte diese aus.
Schwachstelle 1: OTP-Brute-Force ohne Sperre
Nach dem Kauf eines Gebrauchtwagens versuchte der Käufer, sein Fahrzeug über die App zu registrieren. Da der erforderliche Einmalcode (OTP) an den Vorbesitzer gesendet wurde und keine Sperrmechanismen bei falschen Eingaben existierten, entwickelte er ein Python-Skript, um alle 10.000 möglichen OTP-Kombinationen durchzuprobieren. Innerhalb kurzer Zeit gelang ihm so der Zugriff auf das Fahrzeug.
Schwachstelle 2: Offenlegung interner Zugangsdaten
Bei der Analyse der API-Aufrufe stellte der Käufer fest, dass ein Endpunkt sensible Informationen wie Passwörter, Tokens und Benutzernamen für interne Dienste im Klartext preisgab. Diese Daten könnten potenziell für weiterführende Angriffe genutzt werden.
Schwachstelle 3: Unautorisierter Zugriff auf Fahrzeugdaten
Ein weiterer API-Endpunkt ermöglichte es, durch Angabe einer beliebigen Fahrzeug-Identifikationsnummer (VIN) detaillierte Informationen über das Fahrzeug abzurufen, darunter Standortdaten, Batteriestatus und andere sensible Informationen – ohne jegliche Authentifizierung.
Ähnliche Beiträge:
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: