Forscher findet Sicherheitslücke in Volkswagen-App

Cover Image for Forscher findet Sicherheitslücke in Volkswagen-App
Copyright ©

Volkswagen

Tobias Stahl
Tobias Stahl
  —  Lesedauer 3 min

Ein indischer IT-Sicherheitsexperte hat eine Sicherheitslücke in der „My Volkswagen“-App entdeckt, über die Hacker sich allein durch Angabe der Fahrzeug-Identifikationsnummer (VIN) Zugriff auf Kunden- und Fahrzeugdaten verschaffen konnten. VW hat die Sicherheitslücke inzwischen geschlossen – zudem war lediglich die indische Version der App betroffen.

Vishal Bhaskar war auf das Problem nicht in seiner Rolle als IT-Sicherheitsexperte, sondern als VW-Kunde aufmerksam geworden – zumindest anfänglich: In einem Blogbeitrag erklärt Bhaskar, dass er nach dem Kauf eines Gebrauchtwagens mit der Smartphone-App „My Volkswagen“ auf sein Auto zugreifen wollte. Dafür ist die Eingabe eines One-Time-Passworts (OTP) erforderlich, welches nach dem Abruf aber offenbar im E-Mail-Postfach des Vorbesitzers landete.

Fehlende Zugriffskontrollen machten den IT-Experten stutzig

Da Bhaskar den Vorbesitzer nicht kurzfristig telefonisch erreichen konnte, warf der Sicherheitsexperte einen genaueren Blick auf die App: Auch nach mehreren Falscheingaben wurde der Zugriff nicht gesperrt. Bhaskar analysierte daraufhin die API-Requests der VW-App und programmierte ein Skript, um mittels Brute Forcing automatisiert alle möglichen Ziffernkombinationen für das vierstellige Passwort durchzuprobieren. Innerhalb weniger Sekunden fand das Skript den korrekten OTP-Code und Bhaskar hatte Zugriff auf seine Fahrzeugdaten.

Das Brisante daran: Bhaskar benötigte dafür lediglich die Fahrzeug-Identifikationsnummer, die sich bei Autos einfach von außen durch die Windschutzscheibe ablesen lässt.

Der Experte forschte weiter und fand seinem Blogbeitrag zufolge einen weiteren API-Endpunkt, der die Passwörter, Benutzernamen und Token für bestimmte VW-Dienste im Klartext ausgab. Über einen weiteren API-Endpunkt konnte Bhaskar alle Service- und Wartungspakete einsehen, die für das zugehörige Fahrzeug gebucht wurden. In den unverschlüsselten Daten fanden sich auch Vertrags- und Zahlungsinformationen und persönliche Daten wie Namen, Rufnummern, Adressen und E-Mail-Adressen.

Sicherheitslücke in der Volkswagen-App: Bildungsgrad und Notfallkontakte waren einsehbar

Weitere API-Endpunkte zeigten dem IT-Experten die Werkstatthistorie und Fahrzeugtelematikdaten, mit denen man Bhaskar zufolge den Standort eines Autos aus der Ferne einsehen kann. In einigen Fällen will der Experte sogar Informationen zum Bildungsabschluss, Führerschein und den Notfallkontakten des Fahrzeughalters gefunden haben. Die Daten demonstrierten Bhaskar zufolge das „gravierende Ausmaß“ des Datenlecks.

Der VW-Fahrer wandte sich mit seinen Erkenntnissen laut eigener Aussage schon im November 2024 an den Hersteller. Zunächst hatte er Schwierigkeiten, den passenden Ansprechpartner zu finden, das Volkswagen-Team habe aber schnell reagiert und vier Tage nach seiner ersten E-Mail eine Empfangsbestätigung verschickt.

In den folgenden drei Monaten blieb Bhaskar mit Volkswagen-Mitarbeitern via E-Mail in Kontakt, der IT-Experte bezeichnet das Team als „sehr reaktionsschnell“. Am 6. Mai 2025 habe er dann schlussendlich die Bestätigung erhalten, dass die gefundenen Sicherheitslücken geschlossen wurden. Ein „Kopfgeld“, das IT-Sicherheitsforscher häufig von Unternehmen erhalten, wenn sie Schwachstellen aufdecken und melden, gab es für Bhaskar allerdings nicht.

Quelle: Loopsec/Medium – Hacking My Car, and probably yours — Security Flaws in Volkswagen’s App

worthy pixel img
Sidebar ads

Artikel teilen:

Schreib einen Kommentar und misch dich ein! 🚗⚡👇


S. Eckardt:

„Ein „Kopfgeld“… gab es allerdings nicht.“
Beschämend von VW – Firmenkultur ???

Peter:

Wundert mich gar nicht, VW und Software halt, das Intranet, der Direktzugriff auf das Kundcenter, der Self-Service sind im besten Fall…gewöhnungsbedüftig und die VW4You App ist gerade noch akzeptabel.
Warum wurde da nix überprüft nach dem Skandal mit dem abgreifbaren Nutzterdaten und Standorten der Fahrzeuge ?

Ähnliche Artikel

Cover Image for Consultant: Ad-hoc-Pricing braucht Dynamik

Consultant: Ad-hoc-Pricing braucht Dynamik

Sebastian Henßler  —  

Sebastian Fleischhacker erklärt, wie Betreiber mit KI mehr aus ihren Ladesäulen holen – und was E-Auto-Fahrende endlich wirklich brauchen.

Cover Image for Diese 7 E-Autos interessieren derzeit besonders

Diese 7 E-Autos interessieren derzeit besonders

Daniel Krenzer  —  

Welche Elektroautos interessieren die Nutzer der EV Database eigentlich am meisten? Die jüngsten Aufrufzahlen zeigen, was das „beliebteste“ E-Auto ist.

Cover Image for Neue Version des Opel Frontera mit 100 km mehr Reichweite jetzt verfügbar

Neue Version des Opel Frontera mit 100 km mehr Reichweite jetzt verfügbar

Michael Neißendorfer  —  

Im Frühjahr feierte der Opel Frontera seine Händlerpremiere in Deutschland, jetzt gibt es eine neue Modellvariante des E-Autos mit höherer Reichweite.

Cover Image for Citroën preist neuen C5 Aircross Electric bei 42.590 Euro ein

Citroën preist neuen C5 Aircross Electric bei 42.590 Euro ein

Michael Neißendorfer  —  

Der neue C5 Aircross wurde von Grund auf neu entwickelt und basiert erstmals auf der STLA-Medium-Plattform von Konzernmutter Stellantis.

Cover Image for MG Cyber X könnte schon 2027 auf die Straße kommen

MG Cyber X könnte schon 2027 auf die Straße kommen

Sebastian Henßler  —  

Der kantige MG Cyber X soll ab 2027 als emotionales Familienauto auf britische Straßen kommen – mit pop-up-Scheinwerfern und starker Designsprache.

Cover Image for Uber investiert 300 Millionen Dollar in Robotaxi-Projekt mit Lucid

Uber investiert 300 Millionen Dollar in Robotaxi-Projekt mit Lucid

Michael Neißendorfer  —  

Mindestens 20.000 hochautomatisierte E-Autos von Lucid will Uber auf die Straße bringen, in Dutzenden Märkten weltweit.