Ein indischer Sicherheitsforscher hat erhebliche Sicherheitslücken in der “My Volkswagen”-App entdeckt. Alleine mit der Angabe der Fahrzeugidentifikationsnummer (VIN) sei es ihm möglich gewesen, über die API der Smartphone-App weitreichende Daten über Fahrzeuge abzurufen. Der Autohersteller aus Wolfsburg habe die Lücken nach seinem Hinweis inzwischen geschlossen, berichtet er in einem Blogpost. Ob sich das Problem auf die indische Variante der App reduziert, ist unklar.
Vishal Baskar, der sich in seinem Medium-Blog loopsec nennt, hatte nach dem Kauf eines Gebrauchtwagens ein Problem: Als er mit der Smartphone-App des Herstellers auf die Daten seines Fahrzeugs zugreifen wollte, war die Eingabe eines One-Time-Passworts (OTP) nötig. Dies landete allerdings auf dem Smartphone des Vorbesitzers, der nicht auf Anrufe reagierte.
Die genauere Beschäftigung mit der App weckte dann allerdings die Neugierde des Technikinteressierten. Trotz diverser Falscheingaben der OTP-Zahl erfolgte keine Sperrung. Daraufhin installierte Baskar die Software Burp Suite, um die API-Aufrufe der App auf seinem iPhone auslesen zu können. Tatsächlich, so fand er heraus, war eine unbegrenzte Zahl an Versuchen möglich, sodass er schließlich mithilfe eines Python-Skripts die richtige Zahl ermittelte und Zugriff auf seinen Wagen nehmen konnte.
Aber mehr noch: Seiner Dokumentation zufolge entdeckte er bei dieser Gelegenheit, dass offene API-Endpunkte Daten wie Passwörter, Tokens und Benutzernamen im Klartext offenbarten. Nur mithilfe der Identifikationsnummer des Autos gelang ihm zudem der Zugriff auf Informationen über Service- und Wartungspakete – er habe Namen, Telefonnummern, Adressen, E-Mails, Fahrzeugdetails und Vertragsinformationen einsehen können, berichtet er.
Auch die komplette Werkstatthistorie und Fahrzeugtelematikdaten habe er über die API aufrufen können. Ihm zufolge hätte man die Lücken nutzen können, um den Standort des Fahrzeugs aus der Ferne zu kontrollieren, etwa für Stalking. Auch ein Betrug mit den detaillierten persönlichen Informationen wäre möglich gewesen.
Baskar wandte sich mit diesen Erkenntnissen im November 2024 an Volkswagen. Neben der Schwierigkeit, den richtigen Ansprechpartner zu finden, habe es eine Weile gebraucht, bis die Mängel tatsächlich abgestellt wurden. Am 6. Mai 2025 habe er jetzt die Bestätigung bekommen. In einem Schreiben, das er in seinem Blog veröffentlicht hat, dankt ihm der Autohersteller ausdrücklich für seine Unterstützung. Zwar habe er keine Belohnung erhalten, freue sich aber, einen Beitrag zur Produktsicherheit eines verbreiteten Alltagsgegenstands geleistet zu haben, schreibt Baskar.
heise online hat Volkswagen um eine Stellungnahme gebeten und wird diese in diesem Artikel nachreichen.
(
Sie haben heise+ bereits abonniert? Hier anmelden.
Oder benötigen Sie mehr Informationen zum heise+ Abo
Kommentare