Forscher findet Sicherheitslücke in Volkswagen-App

Cover Image for Forscher findet Sicherheitslücke in Volkswagen-App
Copyright ©

Volkswagen

Tobias Stahl
Tobias Stahl
  —  Lesedauer 3 min

Ein indischer IT-Sicherheitsexperte hat eine Sicherheitslücke in der „My Volkswagen“-App entdeckt, über die Hacker sich allein durch Angabe der Fahrzeug-Identifikationsnummer (VIN) Zugriff auf Kunden- und Fahrzeugdaten verschaffen konnten. VW hat die Sicherheitslücke inzwischen geschlossen – zudem war lediglich die indische Version der App betroffen.

Vishal Bhaskar war auf das Problem nicht in seiner Rolle als IT-Sicherheitsexperte, sondern als VW-Kunde aufmerksam geworden – zumindest anfänglich: In einem Blogbeitrag erklärt Bhaskar, dass er nach dem Kauf eines Gebrauchtwagens mit der Smartphone-App „My Volkswagen“ auf sein Auto zugreifen wollte. Dafür ist die Eingabe eines One-Time-Passworts (OTP) erforderlich, welches nach dem Abruf aber offenbar im E-Mail-Postfach des Vorbesitzers landete.

Fehlende Zugriffskontrollen machten den IT-Experten stutzig

Da Bhaskar den Vorbesitzer nicht kurzfristig telefonisch erreichen konnte, warf der Sicherheitsexperte einen genaueren Blick auf die App: Auch nach mehreren Falscheingaben wurde der Zugriff nicht gesperrt. Bhaskar analysierte daraufhin die API-Requests der VW-App und programmierte ein Skript, um mittels Brute Forcing automatisiert alle möglichen Ziffernkombinationen für das vierstellige Passwort durchzuprobieren. Innerhalb weniger Sekunden fand das Skript den korrekten OTP-Code und Bhaskar hatte Zugriff auf seine Fahrzeugdaten.

Das Brisante daran: Bhaskar benötigte dafür lediglich die Fahrzeug-Identifikationsnummer, die sich bei Autos einfach von außen durch die Windschutzscheibe ablesen lässt.

Der Experte forschte weiter und fand seinem Blogbeitrag zufolge einen weiteren API-Endpunkt, der die Passwörter, Benutzernamen und Token für bestimmte VW-Dienste im Klartext ausgab. Über einen weiteren API-Endpunkt konnte Bhaskar alle Service- und Wartungspakete einsehen, die für das zugehörige Fahrzeug gebucht wurden. In den unverschlüsselten Daten fanden sich auch Vertrags- und Zahlungsinformationen und persönliche Daten wie Namen, Rufnummern, Adressen und E-Mail-Adressen.

Sicherheitslücke in der Volkswagen-App: Bildungsgrad und Notfallkontakte waren einsehbar

Weitere API-Endpunkte zeigten dem IT-Experten die Werkstatthistorie und Fahrzeugtelematikdaten, mit denen man Bhaskar zufolge den Standort eines Autos aus der Ferne einsehen kann. In einigen Fällen will der Experte sogar Informationen zum Bildungsabschluss, Führerschein und den Notfallkontakten des Fahrzeughalters gefunden haben. Die Daten demonstrierten Bhaskar zufolge das „gravierende Ausmaß“ des Datenlecks.

Der VW-Fahrer wandte sich mit seinen Erkenntnissen laut eigener Aussage schon im November 2024 an den Hersteller. Zunächst hatte er Schwierigkeiten, den passenden Ansprechpartner zu finden, das Volkswagen-Team habe aber schnell reagiert und vier Tage nach seiner ersten E-Mail eine Empfangsbestätigung verschickt.

In den folgenden drei Monaten blieb Bhaskar mit Volkswagen-Mitarbeitern via E-Mail in Kontakt, der IT-Experte bezeichnet das Team als „sehr reaktionsschnell“. Am 6. Mai 2025 habe er dann schlussendlich die Bestätigung erhalten, dass die gefundenen Sicherheitslücken geschlossen wurden. Ein „Kopfgeld“, das IT-Sicherheitsforscher häufig von Unternehmen erhalten, wenn sie Schwachstellen aufdecken und melden, gab es für Bhaskar allerdings nicht.

Quelle: Loopsec/Medium – Hacking My Car, and probably yours — Security Flaws in Volkswagen’s App

worthy pixel img
Sidebar ads

Artikel teilen:

Schreib einen Kommentar und misch dich ein! 🚗⚡👇


S. Eckardt:

„Ein „Kopfgeld“… gab es allerdings nicht.“
Beschämend von VW – Firmenkultur ???

Peter:

Wundert mich gar nicht, VW und Software halt, das Intranet, der Direktzugriff auf das Kundcenter, der Self-Service sind im besten Fall…gewöhnungsbedüftig und die VW4You App ist gerade noch akzeptabel.
Warum wurde da nix überprüft nach dem Skandal mit dem abgreifbaren Nutzterdaten und Standorten der Fahrzeuge ?

Ähnliche Artikel

Cover Image for Smart rechnet mit Aufschrei durch Abkehr vom E-Auto

Smart rechnet mit Aufschrei durch Abkehr vom E-Auto

Sebastian Henßler  —  

Der neue Smart #5 kommt in China mit Benzin- und Elektromotor. Das Hybridmodell bleibt eine regionale Lösung – Europa hält am Strom fest.

Cover Image for Warum das Tesla Model Y in Indien rund 60.000 Euro kostet

Warum das Tesla Model Y in Indien rund 60.000 Euro kostet

Sebastian Henßler  —  

Das Tesla Model Y startet in Indien bei fast 60.000 Euro – fast doppelt so teuer wie in China. Dabei zielt der Hersteller auf ein wohlhabendes Nischensegment.

Cover Image for Elektrifizierte Werkslogistik bei Daimler Truck: 14 eActros 600 starten mit Sternfahrt auf Fernverkehrsrouten

Elektrifizierte Werkslogistik bei Daimler Truck: 14 eActros 600 starten mit Sternfahrt auf Fernverkehrsrouten

Michael Neißendorfer  —  

Mit der Elektrifizierung der eigenen Fernverkehrsrouten zur Versorgung seiner Lkw-Werke will Mercedes-Benz eine Vorbildrolle einnehmen.

Cover Image for BMWs Hoffnungen auf Entspannung im Zollstreit laufen bislang ins Leere

BMWs Hoffnungen auf Entspannung im Zollstreit laufen bislang ins Leere

Tobias Stahl  —  

Donald Trump hat am vergangenen Wochenende ein neues Ultimatum für Zölle gestellt. Und damit Hoffnungen von BMW zerschlagen.

Cover Image for Unternehmen zweifeln an Investitionsoffensive der Bundesregierung

Unternehmen zweifeln an Investitionsoffensive der Bundesregierung

Michael Neißendorfer  —  

„Den Unternehmen fehlt das Vertrauen. Lediglich ein Viertel der Unternehmen hält das Sofortprogramm für umsetzbar“, sagt Frank Liebold von Atradius.

Cover Image for GM-Tochter Ultium Cells bringt günstigere LFP-Batterien nach Tennessee

GM-Tochter Ultium Cells bringt günstigere LFP-Batterien nach Tennessee

Michael Neißendorfer  —  

Ultium Cells liefert Batteriezellen für GM-Elektroautos – und will perspektivisch auch andere Branchen wie Luftfahrt, Bahn und Schwerlastverkehr versorgen.