Volkswagen-App: Fremde Fahrzeugdaten waren einsehbar

Schlagzeilen

Alle

Nach 13 Jahren: Moderatorin ändert Namen

Neuer Job für Saskia Esken

Drohne sprengt Panzer voller Munition

Victoria Swarovski zeigt sich mit Freund

Mallorca: Frau stürzt 20 Meter in die Tiefe

Tränen: Profi verlässt Bundesliga-Klub

Apple bringt Siri-Konkurrenz auf iPhones

Bundestrainer holt wohl BVB-Star zurück

WM: So sehen Sie das deutsche "Endspiel"

Hagel richtet Chaos in Urlaubsregion an

Nationalspieler stirbt mit nur 31 Jahren

Sängerin platzt plötzlich der BH

Fesselndes Strategiespiel ohne Download

Alle Schlagzeilen anzeigen

Symbolbild zum aus- und einklappen des Inhaltes

Zugang zu sensiblen Informationen
Volkswagen-App: Fremde Fahrzeugdaten waren einsehbar

Von t-online, sha

20.05.2025 - 15:19 UhrLesedauer: 2 Min.

Ein Sicherheitsforscher hat Schwachstellen in der Volkswagen-App aufgedeckt. Über die Anwendung war es möglich, sensible Daten von Autobesitzern einzusehen.

Gravierende Lücken in der offiziellen Volkswagen-App: Der Forscher Vishal Bhaskar vom US-Sicherheitsanbieter CrowdStrike hat Schwachstellen in der Anwendung gefunden, über die Angreifer auf sensible Fahrzeug- und Kundendaten zugreifen konnten. Das schreibt der IT-Fachmann auf seinem persönlichen Blog.

Wie er dort berichtet, sei lediglich die Fahrzeug-Identifikationsnummer (FIN) eines beliebigen Autos notwendig gewesen, um auf die Informationen zugreifen zu können. Die Nummer lässt sich bei Fahrzeugen durch die Windschutzscheibe ablesen.

Er testete den Angriff nach eigenen Angaben mit seinem eigenen Fahrzeug. Nach Eingabe der FIN in der Volkswagen-App für iOS habe diese ein vierstelliges Einmalpasswort (OTP) von ihm verlangt. Das Passwort sei allerdings an den Vorbesitzer seines Autos gesendet worden, schreibt er. Da er diesen nicht erreichte, habe er zufällige Zahlenkombinationen getestet.

App ließ unzählige Code-Eingaben zu

Weil die App unzählige Fehlversuche zugelassen habe, programmierte Bhaskar ein automatisch ablaufendes Programm – ein sogenanntes Skript – das alle 10.000 möglichen Kombinationen durchprobierte. Schließlich habe er die richtige Zahlenkombination erhalten, was theoretisch auch mit jedem anderen VW-Auto funktioniert hätte, so der IT-Experte.

Nachdem er diese gravierende Schwachstelle gefunden habe, untersuchte er die Volkswagen-App auf weitere Lücken – und fand sie auch. Über eine davon hätte er interne Zugangsdaten wie Passwörter, Tokens und Nutzernamen für VW-Dienste abgreifen können.

Auch der Abruf von Service- und Wartungspaketen über die FIN mit Name, Adresse, Telefonnummer und E-Mail des Fahrzeughalters sei möglich gewesen, schreibt der Sicherheitsforscher. Zusätzlich waren Informationen wie Kraftstoffstatistiken, Standortanzeigen und Notfallkontakte des Fahrzeughalters einsehbar.

VW benötigte mehrere Monate zum Schließen der Lücken

Die Schwachstellen meldete Bhaskar bereits am 23. November 2024 an Volkswagen. Eine erste Antwort habe er rund vier Tage später erhalten. Den weiteren Austausch mit dem Sicherheitsteam des Automobilkonzerns beschreibt er als "angenehm und reaktionsschnell".

In einem von Bhaskar auf dem beruflichen Netzwerk LinkedIn veröffentlichten Schreiben vom 28. April 2025 erklärte Volkswagen, die Anwendungen und die Backend-Infrastruktur des Konzerns seien aktualisiert und alle vom Forscher entdeckten Schwachstellen behoben worden. Eine Belohnung, wie beim Entdecken von Sicherheitslücken manchmal üblich, habe Bhaskar aber nicht erhalten.

Verwendete Quellen