I en detaljerad artikel på Medium.com beskriver en säkerhetsexpert hur han 2024 köpte en begagnad Volkswagen och ville koppla bilen till Volkswagens app på sin mobil. Appen krävde både bilens chassinummer och en fyrsiffrig engångskod. Men koden skickades till den tidigare ägarens mobil, och då var goda råd dyra.
Efter att förgäves försökt att kontakta den tidigare ägaren märkte artikelförfattaren, som på Medium.com endast uppger sig vara användaren ”LoopSec”, att appen inte begränsade antalet inmatningsförsök för den fyrsiffriga koden. Det gav honom blodad tand, och med hjälp av ett enkelt skript kunde han systematiskt testa alla 10 000 möjliga kombinationer. Och bingo, efter kort tid hittade hans lilla program rätt kod och han kunde se sin bil i appen.
Men det borde inte vara så enkelt, och därför började LoopSec att granska Volkswagens app noggrant, skriver han i sin artikel, som sedan beskriver de tre allvarligaste säkerhetsproblemen i Volkswagens system som han upptäckte under processen:
- Intern autentiseringsinformation exponerades i klartext, inklusive lösenord, tokens och användarnamn till interna system, betalningsinformation och CRM-verktyg som Salesforce (!).
- Bilägarnas personuppgifter var tillgängliga via chassinumret, inklusive namn, telefonnummer, postadresser, e-postadresser och bilinformation. Och chassinumret kan alltså vem som helst läsa genom bilens vindruta.
- Fordonens servicehistorik var också öppet tillgänglig via chassinumret, inklusive detaljer om arbete som utförts under verkstadsbesök, kundens personuppgifter och till och med kundundersökningsresultat.
Omfattande tillgång till känsliga data
I praktiken innebar säkerhetsbristerna att vem som helst med kännedom om ett fordons chassinummer kunde:
- Lägga till fordonet i sin egen app
- Få tillgång till bilens position i realtid
- Se motorstatus, bränsledata och däcktryck
- Få tillgång till geofencing-kontroll och andra funktioner
- Hämta ägarens personuppgifter som hemadress, telefonnummer och e-post
- Se bilens fullständiga servicehistorik och tidigare reklamationer
Föreställ dig stalkers eller kriminella som är beväpnade med dessa uppgifter. De skulle enkelt kunna fastställa din position i realtid, din hemadress, de platser du ofta besöker, ditt telefonnummer, din e-postadress – listan är oändlig”, varnar LoopSec.
Det tog fem månader att hitta en lösning
Han rapporterade sårbarheterna till Volkswagens säkerhetsteam den 23 november 2024. Efter att ha hittat rätt kontakt via Volkswagens security.txt-fil fick han en bekräftelse fyra dagar senare.
Under de följande tre månaderna utväxlade de flera e-postmeddelanden, där Volkswagens säkerhetsteam enligt LoopSec var mycket lyhörda under hela processen.
Den 3 april 2025 föreslog teamet ett sekretessavtal (NDA) som gjorde det möjligt för dem att dela tekniska detaljer och interna åtgärdsplaner. Den 6 maj 2025 fick vår säkerhetsexpert sedan bekräftelse på att sårbarheterna hade åtgärdats.
Det är långt ifrån första gången Volkswagen-koncernen drabbas av allvarliga säkerhetsbrister. I slutet av 2024 avslöjades att det fanns en enkel åtkomstväg via Bluetooth till Skoda-modellernas inbyggda dator.
Ännu mer alarmerande var ett massivt dataläckage (upptäckt av den tyska hackergruppen Chaos Computer Club) från Volkswagens mjukvarudotterbolag Cariad tidigare i år, där personuppgifter från cirka 600 000 användare exponerades och hela 9,5 TB telemetridata från 800 000 fordon med exakta GPS-koordinater läckte.
Kia och Tesla har haft liknande problem
Säkerhetsproblem i bilars digitala system är inte isolerade till Volkswagen-koncernen:
Hyundai och Kia har tidigare upplevt sårbarheter där säkerhetsforskare visade att bilar kunde ”fjärrstyras” genom enkla webbhacks.
Och Tesla har upplevt att forskare fick tillgång till Autopilot-systemets programvara och kunde kompromettera infotainmentsystemet via bilens LTE-anslutningskort.
Så skyddar du dig som Volkswagen-ägare
Även om Volkswagen nu har åtgärdat de specifika sårbarheterna i sina system rekommenderar LoopSec att VW-ägare täcker bilens chassinummer när bilen parkeras offentligt och håller sin app uppdaterad med de senaste säkerhetsuppdateringarna.
Det är också alltid en god idé att vara uppmärksam på misstänkta förfrågningar från personer som påstår sig vara från återförsäljare eller försäkringsbolag.
Volkswagen har inte kommenterat om det kommer att bli några ytterligare konsekvenser av säkerhetsbristerna eller hur de kommer att säkerställa bättre skydd av kundernas data i framtiden, utöver de konkreta felkorrigeringarna.