大众汽车应用程序漏洞可致车主信息和服务记录泄露

大众汽车车主发现 My Volkswagen 应用程序存在严重安全漏洞，可能泄露数千名客户的敏感个人数据和车辆信息。

这些漏洞目前已被修补，任何能够访问车辆 VIN 号码的人都可以检索全面的车主数据、服务记录，甚至可能在未经授权的情况下控制连接的功能。

这位安全研究人员在 2024 年购买了一辆二手大众汽车后发现了这些漏洞。

当他们尝试设置 My Volkswagen 应用程序时，他们遇到了一个问题：四位数验证 OTP 被发送到前任车主的手机上。

在尝试联系前任车主失败后，研究人员注意到，在多次输入错误的 OTP 后，该应用程序并未实施帐户锁定机制。

他们使用 Burp Suite 拦截网络流量并使用自定义 Python 脚本系统地测试所有 10,000 种可能的组合，成功绕过了验证过程。

该脚本很快找到了有效代码，授予应用程序中对车辆的完全访问权限。

这次暴力攻击暴露了基本的身份验证漏洞，可能允许未经授权的个人访问系统中的任何大众汽车。

通过车辆识别号码 (VIN) 泄露个人数据

身份验证成功后，研究人员发现了多个关键的 API 漏洞。

通过检查应用程序的网络流量，他们发现泄露大量用户数据的端点仅需通过车辆的 VIN 号码（通过汽车挡风玻璃可见的信息）即可访问。

研究人员可以检查该应用程序通过互联网发送的所有请求。在筛选这些请求寻找我的 OTP 时，发现其他几个有趣的 API 调用。

泄露的信息包括车主的全名、电话号码、电子邮件地址、实际地址、车辆详细信息和服务记录。

API 端点以明文形式公开各种内部服务的密码、令牌和用户名，其中包括内部应用程序、支付处理详细信息，甚至销售人员等 CRM 工具。

该安全研究员通过大众汽车公司的 security.txt 文件找到相应的联系人，向大众汽车的安全团队报告了这一发现。

该公司在四天内承认了该报告，并开始了为期三个月的补救程序。到 2025 年 5 月 6 日，大众汽车确认所有已发现的漏洞均已成功修补，解决了严重的隐私问题。

新闻链接：

https://gbhackers.com/volkswagen-car-hack-exposes-owners-personal-data/