Hacker knackt App von VW: Einfacher Zugriff auf fremde Autos (Update)

Eine gravierende Sicherheitslücke in einer App von VW ermöglicht un­be­fug­ten Zugriff auf fremde Fahrzeuge und sensible Nutzerdaten. Alles was Angreifer brauchen, ist etwas Geduld und Informationen, die für gewöhnlich durch die Scheibe des Autos zu sehen sind.

Schwerwiegende Sicherheitslücke in App von VW entdeckt

Immer wieder werden Infotainment-Systeme von Autos geknackt. Oft ist das erschreckend einfach. So machte in der Vergangenheit etwa ein simpler Web-Hack Fahrzeuge von Hyundai und Kia 'fernbedienbar'. Sicherheitsforschen gelang es zudem, an die Software des Autopilot-Systems in Teslas zu gelangen. Und auch der VW-Konzern machte zuletzt keine gute Figur, was die Sicherheit seiner Software anbelangt, als Ende 2024 herauskam, dass es einen leichten Weg über Bluetooth gibt, auf den Boardcomputer von Skoda-Modellen zuzugreifen. Doch selbst nach diesem Vorfall sind die Systeme von VW keinesfalls sicher.

Das belegt jetzt die Arbeit eines Sicherheitsforschers, der eine weitere gefährliche Schwachstelle aufgedeckt hat. Dieses Mal betrifft die Lücke eine offizielle App von Volkswagen und ermöglicht es Angreifern, fremde Fahrzeuge zur App hinzuzufügen und dadurch Zugriff auf sensitive Nutzerdaten zu erlangen. Für den Angriff reicht bereits die Fahrzeugidentifikationsnummer (FIN) aus, die üblicherweise durch die Windschutzscheibe einsehbar ist.

Weitreichende Folgen für die Privatsphäre

Die Konsequenzen dieser Sicherheitslücke sind besorgniserregend. Denn potenzielle Angreifer können nicht nur den Standort des Fahrzeugs in Echtzeit verfolgen, sondern erhalten auch Zugang zu Motorstatus, Kraftstoffdaten, Reifendruck und vielem mehr. Besonders kritisch ist der Zugriff auf persönliche Informationen wie Heimatadresse, Telefonnummer und E-Mail-Adresse der Fahrzeugbesitzer.

Technische Details zur Schwachstelle

Wie das IT-Sicherheitsportal Medium berichtet, liegt das Kernproblem in der fehlenden Begrenzung von OTP-Code-Eingabeversuchen. Solche Sicherheitscodes werden für gewöhnlich zur Verifizierung bei der Anmeldung in Apps und Programmen verwendet und verlieren nach einmaliger Nutzung ihre Gültigkeit. Nachdem der Nutzer in der App seine Fahrzeugidentifikationsnummer eingetragen hat, wird er nach einer solchen OTP gefragt, die für gewöhnlich an das Handy des Kunden gesendet wird.

Ist man nicht der Besitzer des Fahrzeugs und erhält den daher Code nicht, ist das aber kein Problem. Denn die App von VW erlaubt unbegrenzt viele Versuche zur Eingabe des vierstelligen Codes. Mit einem entsprechenden Script können systematisch alle möglichen Kombinationen durchprobiert werden, bis der richtige Code gefunden ist.

Bei einem vierstelligen Code gibt es lediglich 10.000 mögliche Kombinationen, was für automatisierte Angriffe keine große Hürde darstellt. Theoretisch können alle Kombinationen aber auch von Hand ausprobiert werden. Ein Angreifer benötigt dafür kein besonderes technisches Know-how, sondern lediglich die öffentlich sichtbare Fahrzeugidentifikationsnummer und etwas Geduld. Die Volkswagen-App implementierte weder eine Begrenzung der Eingabeversuche noch eine zeitliche Sperre nach mehreren fehlgeschlagenen Versuchen.

Reaktion und Behebung

Volkswagen wurde bereits im November 2024 über das Problem informiert und hat eigenen Angaben zufolge im Mai 2025 einen Fix für die Sicherheitslücke ausgerollt. Die Kommunikation mit dem Volkswagen-Sicherheitsteam verlief dabei konstruktiv, wie die Sicherheitsforscher berichten. Nach der initialen Kontaktaufnahme reagierte das Team prompt und blieb während des gesamten Prozesses sehr aufmerksam.

Wie sich VW-Besitzer schützen können

Die eklatante Sicherheitslücke wirft allerdings ernsthafte Fragen zum Datenschutz auf. Die Europäische Datenschutz-Grundverordnung (DSGVO) verlangt von Unternehmen angemessene technische Maßnahmen zum Schutz personenbezogener Daten. Das offensichtliche Fehlen grundlegender Sicherheitsmechanismen in der App von Volkswagen könnte als Verstoß gegen diese Anforderungen gewertet werden.

Sicherheitsexperten empfehlen trotz der Schließung der Lücke durch VW, die Fahrzeugidentifikationsnummer nach Möglichkeit zu verdecken, wenn das Auto in der Öffentlichkeit parkt. Das erschwert potenziellen Hackern den ersten Schritt des Angriffs. Eine Aktualisierung der App ist nicht unbedingt zielführend, da nicht die Anwendung auf dem eigenen Smartphone, sondern die auf dem Gerät des Angreifers entscheidend ist.

Was haltet ihr von dieser Sicherheitslücke? Habt ihr selbst schon Erfahrungen mit Sicherheitsproblemen in Auto-Apps gemacht? Teilt eure Gedanken in den Kommentaren mit!


Siehe auch: