Veröffentlicht inVW

VW-Fahrer deckt Sicherheitslücke auf – Konzern zum Handeln gezwungen

Avatar photo von Christopher Kulling

Ein VW-Fahrer aus Indien entdeckt eine Sicherheitslücke in der Volkswagen App. Er sagt dem Konzern Bescheid – und der handelt.

© imago images/ZUMA Wire

VW und seine Töchter - das sind die Marken

Zum Volkswagen Konzern gehören viele weitere bekannte Automarken. Wir stellen die bekanntesten VW-Töchter vor.

Bei VW hat es eine brisante Sicherheitslücke gegeben. Betroffen war die hauseigene VW-App.

Inzwischen gibt der Konzern aber auch schon wieder Entwarnung.

VW-App mit Fehler

IT-Experte und VW-Fahrer Vishal Bhaskar aus Indien hatte das Ganze im vergangenen Jahr aufgedeckt. Theoretisch hätten Angreifer relativ einfach auf fremde Fahrzeuge zugreifen und auch sensible Nutzerdaten abfischen können. Sie hätten also nicht nur den Standort des Fahrzeugs in Echtzeit verfolgen können, sondern auch Zugang zu Motorstatus, Kraftstoffdaten, Reifendruck und vielem mehr gehabt. Besonders brisant: Auch ein Zugriff auf persönliche Informationen wie Adresse, Telefonnummer und E-Mail-Adresse der Fahrzeugbesitzer wäre möglich gewesen.

+++ VW: Milliarden-Streit spitzt sich zu! Drohen „katastrophale Folgen“? +++

Der Sicherheitsforscher hatte einfach nur die Fahrzeugidentifikationsnummer (FIN) benutzt, sich einen Code (OTP) generieren und sich das dann aufs Handy schicken lassen. Die FIN kann man ja von außen durch die Frontscheibe ablesen. Der grobe Fehler in der offiziellen VW-App lag darin, dass Sicherheitscodes zur Anmeldung immer und immer wieder genutzt werden konnten – anstatt nach einmaliger Nutzung zu verfallen. Offenbar gab es also keine begrenzte Zahl an Versuchen oder ein Zeitlimit. Mit einem entsprechenden Skript hätten Hacker systematisch alle möglichen Kombinationen durchprobieren können, bis der richtige Code zum Fahrzeug gefunden ist. Theoretisch wäre das auch händisch gegangen, aber dann halt auch entsprechend zeitintensiv gewesen.

Gratis Probefahrt im neuen Elektro-Crossover Kia EV6 GT-line
Einen Elektro-Crossover mit Autobahnassistent, Premium-Relaxation-Sitzen und 325 PS kostenlos Probe fahren: HIER verraten wir, wie du an die Gratis-Probefahrt des Kia Sportage GT-Line kommst🛒.

VW-Kunde meinte es nur gut

Für VW-Fahrer hierzulande gibt es aber gleich zwei gute Nachrichten: Denn diese Lücke habe es nur in Indien gegeben, betonte eine Konzernsprecherin am Mittwoch (21. Mai) gegenüber News38. „Für Kunden in Europa bestand und besteht also gar keine potentielle Gefahr“, sagte sie. Dem Konzern sei bisher auch „keine schadhafte Ausnutzung“ bekannt. Zumal der indische Hacker das Ganze auch direkt VW gemeldet habe, so dass sich die IT-Experten bei Volkswagen direkt ans Werk machen konnten.

Mehr News:

Die zweite gute Nachricht: Die Lücke wurde laut VW inzwischen gefixt. Daher habe Vishal sie auch jetzt erst öffentlich gemacht. Der Sicherheitsforscher hatte also keine bösen Absichten. Im Gegenteil. Volkswagen hat sich daher auch entsprechend per Brief bei ihm für den wichtigen Hinweis bedankt.