Σημαντικά κενά ασφαλείας αποκαλύφθηκαν στην εφαρμογή συνδεδεμένων αυτοκινήτων της Volkswagen, τα οποία οδήγησαν σε παραβίαση και έκθεση ευαίσθητων προσωπικών πληροφοριών και πλήρη ιστορικά συντήρησης οχημάτων παγκοσμίως.
Δείτε επίσης: Volkswagen hacking: Κλάπηκαν 19.000 έγγραφα από διακομιστή
Τα εν λόγω ελαττώματα επέτρεπαν μη εξουσιοδοτημένη πρόσβαση στα δεδομένα των χρηστών μέσω απλών τεχνικών εκμετάλλευσης, που απαιτούσαν μόνο τον αριθμό πλαισίου του οχήματος (VIN), ο οποίος είναι ορατός μέσα από τα περισσότερα παρμπρίζ.
Το περιστατικό αυτό αποτελεί τη δεύτερη μεγάλη παραβίαση στον τομέα της κυβερνοασφάλειας για τη Volkswagen μέσα σε έξι μήνες, μετά από τη διαρροή δεδομένων τον Δεκέμβριο του 2024 από αποθηκευτικό χώρο cloud, η οποία επηρέασε 800.000 ηλεκτρικά οχήματα.
Ο ερευνητής κυβερνοασφάλειας Vishal Bhaskar εντόπισε τις ευπάθειες αφότου αγόρασε ένα μεταχειρισμένο Volkswagen το 2024. Κατά την προσπάθειά του να συνδέσει το όχημα με την εφαρμογή My Volkswagen, αντιμετώπισε ένα πρόβλημα: ο κωδικός μιας χρήσης (OTP) αποστάλθηκε στο τηλέφωνο του προηγούμενου ιδιοκτήτη.
Αντί να αποδεχτεί την αποτυχία, ο Bhaskar παρατήρησε ότι η εφαρμογή δεν διέθετε μηχανισμό αποκλεισμού (lockout) μετά από πολλαπλές αποτυχημένες προσπάθειες εισόδου. Ένα αυτοματοποιημένο script κατάφερε τελικά να «σπάσει» τον κωδικό – αλλά αυτό ήταν μόνο η αρχή. Ο Bhaskar εντόπισε τρεις κρίσιμες ευπάθειες στα συστήματα της Volkswagen:
Δείτε ακόμα: Ευπάθεις σε αυτοκίνητα Skoda επιτρέπουν σε hackers να παρακολουθούν την τοποθεσία τους
Διαρροή Εσωτερικών Διαπιστευτηρίων: Ένα API endpoint αποκάλυπτε εσωτερικά ονόματα χρήστη, κωδικούς πρόσβασης, tokens και ακόμη και στοιχεία σύνδεσης για υπηρεσίες τρίτων, όπως πάροχοι πληρωμών και Salesforce – όλα σε απλό, μη κρυπτογραφημένο κείμενο.
Έκθεση Προσωπικών Στοιχείων μέσω του VIN: Ένα άλλο endpoint αποκάλυπτε προφίλ πελατών που περιλάμβαναν ονόματα, αριθμούς τηλεφώνου, διευθύνσεις email, ταχυδρομικές διευθύνσεις και στοιχεία εγγραφής, όλα συνδεδεμένα με τα ιστορικά συντήρησης – προσβάσιμα απλώς με τη χρήση του αριθμού πλαισίου (VIN) του οχήματος.
Πλήρες Ιστορικό Συντήρησης Προσβάσιμο: Μια τρίτη ευπάθεια επέτρεπε την πρόσβαση σε πλήρη ιστορικά συντήρησης, παράπονα πελατών και ακόμη και αποτελέσματα ερευνών ικανοποίησης – για οποιοδήποτε όχημα, απλώς με την εισαγωγή του αντίστοιχου VIN.
Ο Bhaskar ανέφερε τις ευπάθειες στη Volkswagen στις 23 Νοεμβρίου 2024. Μετά από αρκετούς μήνες επικοινωνίας, η Volkswagen επιβεβαίωσε στις 6 Μαΐου 2025 ότι όλες οι ευπάθειες είχαν διορθωθεί. Καθώς τα οχήματα συνδέονται όλο και περισσότερο στο διαδίκτυο, οι ερευνητές κυβερνοασφάλειας προειδοποιούν ότι οι κατασκευαστές πρέπει να δώσουν απόλυτη προτεραιότητα στην ασφάλεια των συστημάτων τους, ώστε να αποτραπεί η μη εξουσιοδοτημένη πρόσβαση στα ολοένα και περισσότερα προσωπικά δεδομένα που συλλέγουν τα σύγχρονα αυτοκίνητα.
Δείτε επίσης: Uber και Volkswagen συνεργάζονται για υπηρεσία robotaxi στις ΗΠΑ
Βάσει των παραπάνω, είναι φανερό πως η ραγδαία εξέλιξη των “έξυπνων” και συνδεδεμένων οχημάτων συνοδεύεται από σημαντικούς κινδύνους στον τομέα της κυβερνοασφάλειας. Καθώς οι αυτοκινητοβιομηχανίες ενσωματώνουν όλο και περισσότερες ψηφιακές υπηρεσίες — όπως εφαρμογές διαχείρισης οχήματος, απομακρυσμένο έλεγχο, cloud-based δεδομένα και τηλεματική — ανοίγονται νέα “παράθυρα” που μπορούν να εκμεταλλευτούν κακόβουλοι χρήστες.
Πηγή: cybersecuritynews
