Forscher findet Sicherheitslücke in Volkswagen-App

Cover Image for Forscher findet Sicherheitslücke in Volkswagen-App
Copyright ©

Volkswagen

Tobias Stahl
Tobias Stahl
  —  Lesedauer 3 min

Ein indischer IT-Sicherheitsexperte hat eine Sicherheitslücke in der „My Volkswagen“-App entdeckt, über die Hacker sich allein durch Angabe der Fahrzeug-Identifikationsnummer (VIN) Zugriff auf Kunden- und Fahrzeugdaten verschaffen konnten. VW hat die Sicherheitslücke inzwischen geschlossen – zudem war lediglich die indische Version der App betroffen.

Vishal Bhaskar war auf das Problem nicht in seiner Rolle als IT-Sicherheitsexperte, sondern als VW-Kunde aufmerksam geworden – zumindest anfänglich: In einem Blogbeitrag erklärt Bhaskar, dass er nach dem Kauf eines Gebrauchtwagens mit der Smartphone-App „My Volkswagen“ auf sein Auto zugreifen wollte. Dafür ist die Eingabe eines One-Time-Passworts (OTP) erforderlich, welches nach dem Abruf aber offenbar im E-Mail-Postfach des Vorbesitzers landete.

Fehlende Zugriffskontrollen machten den IT-Experten stutzig

Da Bhaskar den Vorbesitzer nicht kurzfristig telefonisch erreichen konnte, warf der Sicherheitsexperte einen genaueren Blick auf die App: Auch nach mehreren Falscheingaben wurde der Zugriff nicht gesperrt. Bhaskar analysierte daraufhin die API-Requests der VW-App und programmierte ein Skript, um mittels Brute Forcing automatisiert alle möglichen Ziffernkombinationen für das vierstellige Passwort durchzuprobieren. Innerhalb weniger Sekunden fand das Skript den korrekten OTP-Code und Bhaskar hatte Zugriff auf seine Fahrzeugdaten.

Das Brisante daran: Bhaskar benötigte dafür lediglich die Fahrzeug-Identifikationsnummer, die sich bei Autos einfach von außen durch die Windschutzscheibe ablesen lässt.

Der Experte forschte weiter und fand seinem Blogbeitrag zufolge einen weiteren API-Endpunkt, der die Passwörter, Benutzernamen und Token für bestimmte VW-Dienste im Klartext ausgab. Über einen weiteren API-Endpunkt konnte Bhaskar alle Service- und Wartungspakete einsehen, die für das zugehörige Fahrzeug gebucht wurden. In den unverschlüsselten Daten fanden sich auch Vertrags- und Zahlungsinformationen und persönliche Daten wie Namen, Rufnummern, Adressen und E-Mail-Adressen.

Sicherheitslücke in der Volkswagen-App: Bildungsgrad und Notfallkontakte waren einsehbar

Weitere API-Endpunkte zeigten dem IT-Experten die Werkstatthistorie und Fahrzeugtelematikdaten, mit denen man Bhaskar zufolge den Standort eines Autos aus der Ferne einsehen kann. In einigen Fällen will der Experte sogar Informationen zum Bildungsabschluss, Führerschein und den Notfallkontakten des Fahrzeughalters gefunden haben. Die Daten demonstrierten Bhaskar zufolge das „gravierende Ausmaß“ des Datenlecks.

Der VW-Fahrer wandte sich mit seinen Erkenntnissen laut eigener Aussage schon im November 2024 an den Hersteller. Zunächst hatte er Schwierigkeiten, den passenden Ansprechpartner zu finden, das Volkswagen-Team habe aber schnell reagiert und vier Tage nach seiner ersten E-Mail eine Empfangsbestätigung verschickt.

In den folgenden drei Monaten blieb Bhaskar mit Volkswagen-Mitarbeitern via E-Mail in Kontakt, der IT-Experte bezeichnet das Team als „sehr reaktionsschnell“. Am 6. Mai 2025 habe er dann schlussendlich die Bestätigung erhalten, dass die gefundenen Sicherheitslücken geschlossen wurden. Ein „Kopfgeld“, das IT-Sicherheitsforscher häufig von Unternehmen erhalten, wenn sie Schwachstellen aufdecken und melden, gab es für Bhaskar allerdings nicht.

Quelle: Loopsec/Medium – Hacking My Car, and probably yours — Security Flaws in Volkswagen’s App

worthy pixel img
Sidebar ads

Artikel teilen:

Schreib einen Kommentar und misch dich ein! 🚗⚡👇


S. Eckardt:

„Ein „Kopfgeld“… gab es allerdings nicht.“
Beschämend von VW – Firmenkultur ???

Peter:

Wundert mich gar nicht, VW und Software halt, das Intranet, der Direktzugriff auf das Kundcenter, der Self-Service sind im besten Fall…gewöhnungsbedüftig und die VW4You App ist gerade noch akzeptabel.
Warum wurde da nix überprüft nach dem Skandal mit dem abgreifbaren Nutzterdaten und Standorten der Fahrzeuge ?

Ähnliche Artikel

Cover Image for Deutschland fällt bei E-Mobilität zurück, China baut Vorsprung weiter aus

Deutschland fällt bei E-Mobilität zurück, China baut Vorsprung weiter aus

Michael Neißendorfer  —  

Weltweit steigt der Anteil von E-Autos an Neuwagenverkäufen von 20 auf 25 Prozent, trotz Wachstumsschwäche in wichtigen Märkten.

Cover Image for Kia EV5: Alle Daten und Fakten zum neuen Elektro-SUV

Kia EV5: Alle Daten und Fakten zum neuen Elektro-SUV

Michael Neißendorfer  —  

Mit dem EV5 bringt Kia ein weiteres E-Auto in das beliebte Kompakt-SUV-Segment, die größte und am schnellsten wachsende Fahrzeugklasse in Europa.

Cover Image for Mazda6e: Groß, elektrisch – und kein SUV

Mazda6e: Groß, elektrisch – und kein SUV

Wolfgang Plank  —  

Erfreulich gegen den Trend ist der Mazda 6e in Sachen Karosserie unterwegs. Leider muss man sagen aber auch bei der Ladeleistung.

Cover Image for Verkehrswende-Radar: weniger Verkehr, mehr E-Autos

Verkehrswende-Radar: weniger Verkehr, mehr E-Autos

Michael Neißendorfer  —  

Mehr E-Autos, mehr Schnelllader, während der Verkehr schrumpft. Ein neuer Agora-Radar zeigt, wo Deutschland bei der Mobilitätswende wirklich steht.

Cover Image for Spedition Nanno Janssen will nur noch E-Lkw beschaffen

Spedition Nanno Janssen will nur noch E-Lkw beschaffen

Michael Neißendorfer  —  

Ganz oder gar nicht ist das Motto bei der Spedition Nanno Janssen, die sich komplett der Elektromobilität verschrieben hat – bis auf eine Ausnahme.

Cover Image for Bentley stellt mit EXP 15 seine vollelektrische Luxus-Studie der Zukunft vor

Bentley stellt mit EXP 15 seine vollelektrische Luxus-Studie der Zukunft vor

Michael Neißendorfer  —  

Spannend ist, dass der EXP 15 eine sehr ähnliche Designrichtung einschlägt wie Jaguars kürzlich präsentierte E-Limousinen-Studie Type 00.