Heutige Top-Angebote auf Amazon – bis zu 80 % Rabatt! ×

Autobesitzer entdeckt Sicherheitsanfälligkeit in der Volkswagen-App

Von Volodymyr Kolominov | 26.05.2025, 08:21
Wie Volkswagen seine Auto-Apps verbessert Volkswagen-App. Quelle: Volkswagen

Der Informationssicherheitsexperte Vishal Bhaskar hat eine kritische Sicherheitsanfälligkeit in der My Volkswagen-App entdeckt, die es Angreifern ermöglichen könnte, persönliche Daten von Autobesitzern nur mit der Fahrzeugidentifikationsnummer (VIN) zuzugreifen. Die Sicherheitsanfälligkeit betraf nur die indische Version der App, und Volkswagen hat sie nun behoben.

Das wissen wir

Bhaskar stieß zufällig als normaler Autobesitzer auf das Problem. Er kaufte ein gebrauchtes Auto und versuchte, sich über die App damit zu verbinden. Das einmalige Passwort (OTP), das für die Bestätigung erforderlich war, wurde jedoch an die E-Mail des vorherigen Eigentümers gesendet. Da er ihn nicht rechtzeitig kontaktieren konnte, begann Bhaskar, die API-Anfragen der App zu analysieren, und stellte fest, dass es keinen Ausschluss bei falscher Passworteingabe gab.

Der Forscher schrieb ein Skript, das alle möglichen vierstelligen Codes durchsuchte. In nur wenigen Sekunden wurde das Passwort gefunden und er konnte auf die Daten des Autos zugreifen. Dafür benötigte Bhaskar nur die VIN, die man frei durch die Windschutzscheibe sehen kann.

Er hörte da nicht auf und setzte seine Forschung fort. Seinen Angaben zufolge gab einer der API-Endpunkte Logins, Passwörter und Tokens für zahlreiche Volkswagen-Dienste im Klartext zurück. Über einen anderen Zugang erhielt er Zugriff auf Servicedaten, einschließlich unterzeichneter Verträge, Zahlungsinformationen und persönlicher Daten der Besitzer - Namen, Telefonnummern, Adressen und E-Mails.

Besonders alarmierend war die Tatsache, dass über einige Endpunkte Telematikdaten von Fahrzeugen, einschließlich ihrer aktuellen Geolokalisierung, abgerufen werden konnten. In einigen Fällen speicherte die Datenbank sogar Informationen zu Führerscheindetails und Notfallkontakten. Wie Bhaskar betonte, war das Ausmaß der Sicherheitsanfälligkeiten "äußerst ernst".

Der Forscher wandte sich im November 2024 mit einem Bericht über die gefundenen Sicherheitsanfälligkeiten an Volkswagen. Es sei anfänglich schwierig gewesen, die richtigen Vertreter zu finden, sagte er, aber vier Tage nach der ersten E-Mail sendete das Unternehmen eine Empfangsbestätigung. Im Mai 2025 erhielt er die offizielle Bestätigung, dass alle gefundenen Sicherheitsanfälligkeiten behoben wurden.

Quelle: Loopsec/Medium

Autos Sicherheit
Fügen Sie Gagadget zu Ihrem Google News-Feed hinzu Created with Fabric.js 3.6.6
Letzte Nachrichten
Neueste Bewertungen
Neueste Artikel