bencede
New member
Hintli bir güvenlik araştırmacısı “Volkswagen” uygulamasında önemli güvenlik boşlukları keşfetti. Araç kimlik numarasının (VIN) özellikleri ile, akıllı telefon uygulamasının API'si aracılığıyla araçlar aracılığıyla derinlemesine verilere erişmek mümkün oldu. Önerisine göre, Wolfsburg otomobil üreticisi şimdi bir blog yazısında raporları kapattı. Sorunun uygulamanın Hindistan varyantına indirilip düşürülmediği açık değildir.
Ortalama blogunda kendini döngüsel olarak tanımlayan Vishal Baskar, kullanılmış bir araba satın aldıktan sonra bir sorun yaşadı: Aracının verilerine üreticinin akıllı telefon uygulamasıyla erişmek istediği zaman, bir parola (OTP) gerekliydi. Ancak bu, çağrılara cevap vermeyen önceki sahibinin akıllı telefonuna indi.
İlk parça olarak OTP sorunu
Bununla birlikte, ilgili teknoloji kişinin merakı, uygulama ile daha kesin bir meslek uyandırdı. OTP numarasının çeşitli tahrifatlarına rağmen, blok yoktu. Baskar daha sonra uygulamanın uygulamalarını iPhone'unda okuyabilmek için Burp Suite yazılımını yükledi. Aslında, sınırsız sayıda deneyin mümkün olduğunu keşfetti, böylece bir Python senaryosu yardımıyla doğru sayıyı kullanabildi ve arabasını kabul etti.
Ancak daha da fazlası: Belgeseline göre, bu vesileyle açık arıların uç noktalarının şifreler, jetonlar ve net kullanıcı adları gibi verileri ortaya çıkardığını keşfetti. Yalnızca otomobil kimlik numarasının yardımıyla hizmet ve bakım paketleri hakkında da kabul edilen bilgilerle, isimleri, telefon numaralarını, adresleri, e-postaları, araç detaylarını ve sözleşme bilgilerini görüntüleyebilmiştir.
VW bir Şükran mektubu ile tepki gösterdi
Ayrıca API aracılığıyla seminerin tam kronolojisini ve aracın temel verilerini çağırabildi. Ona göre, boşluklar aracın yerini uzaktan kontrol etmek için, örneğin takip etmek için kullanılmış olabilir. Ayrıntılı kişisel bilgilerle de olası sahtekarlık olurdu.
Bu sonuçlarla Baskar, Kasım 2024'te Volkswagen'e döndü. Doğru iletişim kişisini bulmanın zorluğuna ek olarak, kusurların park edilmesi biraz aldı. 6 Mayıs 2025'te şimdi onay almıştı. Blogunda yayınladığı bir mektupta otomotiv yapımcısı, desteği için ona açıkça teşekkür ediyor. Baskar, herhangi bir ödül almamış olmasına rağmen, yaygın bir günlük nesnenin ürününün güvenliğine katkıda bulunmaktan memnuniyet duyuyor.
Haberler Online Volkswagen'den yorum yapmasını istedi ve onu bu makaleye gönderecek.
(MKI)
Ne yazık ki, bu bağlantı artık geçerli değil.
Boşa harcanan eşyalara olan bağlantılar, 7 günlük daha büyükse veya çok sık çağrılmışsa gerçekleşmez.
Bu makaleyi okumak için bir Haberler+ paketine ihtiyacınız var. Şimdi yükümlülük olmadan bir hafta deneyin – yükümlülük olmadan!
Ortalama blogunda kendini döngüsel olarak tanımlayan Vishal Baskar, kullanılmış bir araba satın aldıktan sonra bir sorun yaşadı: Aracının verilerine üreticinin akıllı telefon uygulamasıyla erişmek istediği zaman, bir parola (OTP) gerekliydi. Ancak bu, çağrılara cevap vermeyen önceki sahibinin akıllı telefonuna indi.
İlk parça olarak OTP sorunu
Bununla birlikte, ilgili teknoloji kişinin merakı, uygulama ile daha kesin bir meslek uyandırdı. OTP numarasının çeşitli tahrifatlarına rağmen, blok yoktu. Baskar daha sonra uygulamanın uygulamalarını iPhone'unda okuyabilmek için Burp Suite yazılımını yükledi. Aslında, sınırsız sayıda deneyin mümkün olduğunu keşfetti, böylece bir Python senaryosu yardımıyla doğru sayıyı kullanabildi ve arabasını kabul etti.
Ancak daha da fazlası: Belgeseline göre, bu vesileyle açık arıların uç noktalarının şifreler, jetonlar ve net kullanıcı adları gibi verileri ortaya çıkardığını keşfetti. Yalnızca otomobil kimlik numarasının yardımıyla hizmet ve bakım paketleri hakkında da kabul edilen bilgilerle, isimleri, telefon numaralarını, adresleri, e-postaları, araç detaylarını ve sözleşme bilgilerini görüntüleyebilmiştir.
VW bir Şükran mektubu ile tepki gösterdi
Ayrıca API aracılığıyla seminerin tam kronolojisini ve aracın temel verilerini çağırabildi. Ona göre, boşluklar aracın yerini uzaktan kontrol etmek için, örneğin takip etmek için kullanılmış olabilir. Ayrıntılı kişisel bilgilerle de olası sahtekarlık olurdu.
Bu sonuçlarla Baskar, Kasım 2024'te Volkswagen'e döndü. Doğru iletişim kişisini bulmanın zorluğuna ek olarak, kusurların park edilmesi biraz aldı. 6 Mayıs 2025'te şimdi onay almıştı. Blogunda yayınladığı bir mektupta otomotiv yapımcısı, desteği için ona açıkça teşekkür ediyor. Baskar, herhangi bir ödül almamış olmasına rağmen, yaygın bir günlük nesnenin ürününün güvenliğine katkıda bulunmaktan memnuniyet duyuyor.
Haberler Online Volkswagen'den yorum yapmasını istedi ve onu bu makaleye gönderecek.
(MKI)
Ne yazık ki, bu bağlantı artık geçerli değil.
Boşa harcanan eşyalara olan bağlantılar, 7 günlük daha büyükse veya çok sık çağrılmışsa gerçekleşmez.
Bu makaleyi okumak için bir Haberler+ paketine ihtiyacınız var. Şimdi yükümlülük olmadan bir hafta deneyin – yükümlülük olmadan!