Skremmende sikkerhetshull i VW-appen: Så lett kunne hvem som helst overvåke bilen din

Tenk deg at noen bare trenger bilens registreringsnummer for å finne ut hvor du er, hvor mye drivstoff du har igjen – og til og med få tilgang til dine personlige opplysninger.

Det høres kanskje ut som en thriller, men for brukere av Volkswagens offisielle bilapp var det nylig realitet.

En IT-sikkerhetsforsker oppdaget feilen helt tilfeldig da han forsøkte å koble en bruktbil til appen. Til sin store overraskelse merket han at appen ikke sperret tilgangen, selv etter mange feilaktige innlogginger.

Det åpnet for enkle såkalte brute force-angrep, der man prøver seg frem med ulike koder – og det fungerte. Plutselig hadde han tilgang til bilen via mobilen sin, og kunne se alt fra drivstoffnivå og dekktrykk til bilens nøyaktige posisjon.

Men det stoppet ikke der.

Alt forskeren trengte for å hente ut enda mer informasjon, var bilens chassisnummer – som enkelt kan leses gjennom frontruten. Med det fikk han tilgang til passord i klartekst, personopplysninger og til og med bilens servicehistorikk.

Kritiske mangler – men rask respons

Volkswagen ble umiddelbart varslet og har nå tettet sikkerhetshullene. Det er derimot uklart om uvedkommende rakk å utnytte svakhetene før de ble fikset.

Det som likevel vekker størst bekymring, er at helt grunnleggende sikkerhetstiltak som innloggingssperrer og kryptering manglet fullstendig.

Hva bør du gjøre?

Bruker du VW-appen? Sørg for at den er oppdatert til siste versjon og bytt passord hvis du har brukt samme kode andre steder.

Dette er en viktig påminnelse om at også digitale bilsystemer må behandles med samme sikkerhetsnivå som mobilen og datamaskinen din.