Domů
> Bezpečnost

Soukromí řidičů v ohrožení: aplikace Volkswagen snadno odhalí vaše údaje

Pavel Trousil 25.05.2025

Indický bezpečnostní expert Vishal Bhaskar při koupi ojetého vozu VW narazil na závažnou bezpečnostní chybu v mobilní aplikaci My Volkswagen. Původně chtěl pouze k aplikaci připojit své auto, ale narazil při tom na množství kritických slabin, které umožňovaly získat citlivé informace o cizích vozidlech a majitelích.

Kapitoly článku

Bezpečnostní chyba aplikace Volkswagen

Problém začal zdánlivě nevinně. Bhaskar potřeboval čtyřmístný kód, který byl odeslán na telefon předchozího majitele vozu VW (konkrétní model neuvádí, jen to, že nainstaloval aplikaci My Volkswagen – ŠKODA Auto Volkswagen India Pvt Ltd). Když se s ním ale nedokázal spojit, zkusil několik náhodných kombinací. Překvapilo ho, že aplikace ho ani po deseti neúspěšných pokusech nezablokovala.

To vzbudilo jeho podezření. Jako IT specialista se rozhodl otestovat, zda by bylo možné kód „uhodnout“ systematicky. Připravil si skript v Pythonu a během několika sekund uspěl – aplikace akceptovala jeden z použitých kódů a umožnila mu přístup k vozidlu.

Mohlo by vás zajímat

Rozsah problému byl mnohem větší

Po úspěšném „prolomení“ ochrany se Bhaskar rozhodl prozkoumat systém důkladněji. Objevil celkem čtyři kritické bezpečnostní chyby.

  • Přístup k údajům o vozidle pouze pomocí VIN: nejzávažnějším zjištěním bylo, že k získání citlivých informací stačilo znát pouze VIN kód vozidla – číslo, které je viditelné na čelním skle každého auta. S touto informací mohl kdokoliv zjistit aktuální polohu vozidla, kontrolovat stav paliva a tlak v pneumatikách, přistupovat k funkcím dálkového ovládání a nastavovat geofencing (sledování pohybu v určených oblastech)
  • Únik osobních údajů majitelů: druhá chyba umožnila přístup k rozsáhlým osobním údajům všech majitelů vozidel. Mezi uniknutými daty se nacházely jména, telefonní čísla a adresy, dále e-mailové adresy, čísla řidičských průkazů, detaily o zakoupených servisních balíčcích a informace o platbách
  • Historie servisu a oprav: třetí problém odhaloval kompletní servisní historii vozidel, včetně detailů o všech návštěvách servisu, popisů provedených prací, výsledků zákaznických průzkumů spokojenosti a údajů o reklamacích a problémech.
  • Přihlašovací údaje v nešifrované podobě: nejkritičtější byla čtvrtá chyba – v systému byly uloženy přihlašovací údaje k interním službám v nezašifrované podobě. Hackeři tak mohli získat přístup k platebním systémům, CRM nástrojům a pod. 

Mohlo by vás zajímat

Jaká byla rizika pro uživatele?

Kombinace těchto chyb vytvářela ideální podmínky pro různé typy útoků:

  • Stalking a fyzické ohrožení: zločinci mohli sledovat pohyb vozidel v reálném čase a zjistit domovské adresy majitelů.
  • Sofistikované podvody: podvodníci by mohli vystupovat jako zástupci dealerů nebo pojišťovny a díky přístupu k detailním údajům působit velmi věrohodně.
  • Krádež identity: rozsáhlé osobní údaje mohly být zneužity k různým formám podvodů nebo prodány na černém trhu.

Mohlo by vás zajímat

Odpovědný přístup k odhalení

Bhaskar postupoval podle etických standardů bezpečnostního výzkumu. Ihned po objevu problémů kontaktoval bezpečnostní tým Volkswagenu prostřednictvím oficiální e-mailové adresy [email protected].

Komunikace probíhala od listopadu 2024 do května 2025. Volkswagen reagoval rychle a udržoval během celého procesu aktivní komunikaci. V dubnu 2025 byla podepsána dohoda o mlčenlivosti, která umožnila sdílet technické detaily a plány nápravy.

Společnost Volkswagen na problémy reagovala zodpovědně. V dopise z dubna 2025 ocenila přístup výzkumníka. Potvrdila v něm, že zranitelnosti již byly opraveny. Vedení společnosti zdůraznilo, že kybernetická bezpečnost je pro Volkswagen prioritou. 

Poučení pro budoucnost

Tento incident poukazuje na několik problémů v zabezpečení připojených vozidel a to se samozřejmě netýká jen značky VW:

  • Nedostatečná ochrana proti automatizovaným útokům: aplikace neomezovala počet pokusů o zadání kódu. To umožnilo útok hrubou silou
  • Slabá autentizace: spoléhání pouze na VIN kód jako identifikátor představuje bezpečnostní riziko
  • Nedostatečné šifrování: ukládání citlivých údajů v nešifrované podobě porušuje základní bezpečnostní zásady
  • Přílišné množství dostupných dat: aplikace poskytovala přístup k informacím, které nebyly potřebné

Ačkoliv Volkswagen problémy vyřešil, tento incident ukazuje, jak složité je zajistit bezpečnost v éře připojených vozidel. Automobilky musí věnovat kybernetické bezpečnosti stejnou pozornost jako bezpečnosti klasické. Pro majitele vozidel je poučením, že i zdánlivě bezpečné technologie mohou skrývat rizika. 

Zdroj: Medium, VW India, Computing, Techlomedia

Máte k článku připomínku? Napište nám

Mohlo by se vám líbit

Všechny nejnovější zprávy

doporučujeme