از مشکل OTP گرفته تا کشف: چگونه یک خریدار ماشین VWS ضعف برنامه را پیدا کرد

یک محقق امنیتی هند شکاف های امنیتی قابل توجهی را در برنامه “My Volkswagen” کشف کرده است. با مشخصات شماره شناسایی وسیله نقلیه (VIN) به تنهایی ، امکان دسترسی وی به داده های گسترده از طریق وسایل نقلیه از طریق API برنامه تلفن هوشمند امکان پذیر بود. وی در یک پست وبلاگ گزارش می دهد ، طبق گفته وی ، تولید کننده خودرو از ولفسبورگ اکنون شکاف ها را بسته است. مشخص نیست که آیا این مشکل به نوع برنامه هند کاهش می یابد یا خیر.

ویشال بسر ، که خود را در وبلاگ متوسط ​​خود حلقه می نامد ، پس از خرید یک ماشین استفاده شده مشکلی داشت: وقتی می خواست به داده های وسیله نقلیه خود با برنامه تلفن هوشمند سازنده دسترسی پیدا کند ، وارد کردن یک رمز عبور یک بار (OTP) لازم بود. با این حال ، این به تلفن هوشمند مالک قبلی رسید ، که به تماس ها پاسخ نداد.

مشکل OTP به عنوان اولین اثری

با این حال ، کنجکاوی فرد علاقه مند به فن آوری -حرفه ای ، شغل دقیق تری را با برنامه برانگیخت. با وجود جعل های مختلف شماره OTP ، هیچ مسدود کننده ای وجود نداشت. Baskar سپس نرم افزار Burp Suite را نصب کرد تا بتواند تماس های API برنامه را در آیفون خود بخواند. در حقیقت ، او فهمید ، تعداد نامحدودی از آزمایشات امکان پذیر است ، به طوری که با کمک یک اسکریپت پایتون توانست از شماره صحیح استفاده کند و به ماشین خود دسترسی پیدا کند.

اما حتی بیشتر: به گفته مستند خود ، وی به همین مناسبت کشف کرد که نقاط پایانی API داده هایی مانند رمزهای عبور ، نشانه ها و نام کاربری را در متن ساده نشان می دهد. او فقط با کمک شماره شناسایی خودرو نیز به اطلاعات مربوط به بسته های خدمات و نگهداری نیز دسترسی پیدا کرد- وی توانست نام ، شماره تلفن ، آدرس ، ایمیل ، جزئیات وسایل نقلیه و اطلاعات قرارداد را مشاهده کند.

VW با نامه تشکر واکنش نشان داد

وی همچنین توانست از طریق API تاریخچه کارگاه کامل و داده های ابتدایی خودرو را فراخوانی کند. به گفته وی ، می توان از این شکافها برای کنترل محل وسیله نقلیه از فاصله دور استفاده کرد ، به عنوان مثال برای بدبختی. تقلب با اطلاعات دقیق شخصی نیز امکان پذیر بود.

با این یافته ها ، در نوامبر 2024 به فولکس واگن روی آورد. علاوه بر دشواری در یافتن شخص تماس مناسب ، مدتی طول کشید تا نقص در واقع پارک شود. در 6 مه 2025 ، او اکنون تأیید را دریافت کرده بود. وی در نامه ای که در وبلاگ خود منتشر کرد ، سازنده خودرو صریحاً از او بخاطر حمایت وی تشکر می کند. اگرچه او هیچ پاداش دریافت نکرد ، اما خوشحال است که در ایمنی محصول یک شیء گسترده روزمره کمک کرده است.

Heise Online از فولکس واگن خواسته است تا اظهار نظر کند و آن را در این مقاله ارسال خواهد کرد.

(سیا)