Vom OTP-Problem zur Entdeckung: Wie ein Autokäufer VWs App-Schwachstellen fand
Ein Sicherheitsforscher aus Indien wollte Zugriff auf die App-Funktionen seines Fahrzeugs nehmen. Dabei entdeckte er SicherheitslĂĽcken in der indischen VW-App.
(Bild: skovalsky/Shutterstock.com)
Ein indischer Sicherheitsforscher hat erhebliche Sicherheitslücken in der “My Volkswagen”-App entdeckt. Alleine mit der Angabe der Fahrzeugidentifikationsnummer (VIN) sei es ihm möglich gewesen, über die API der Smartphone-App weitreichende Daten über Fahrzeuge abzurufen. Der Autohersteller aus Wolfsburg habe die Lücken nach seinem Hinweis inzwischen geschlossen, bevor diese öffentlich wurden, berichtet er in einem Blogpost. Betroffen war hiervon allerdings nur die indische Variante der App, die auch nur Zugriff auf Fahrzeuge in Indien erlaubt, wie eine Volkswagen-Sprecherin heise online sagte. Es handle sich um ein lokales Thema. VW-Fahrzeuge und VW-Apps aus anderen Ländern seien zu keinem Zeitpunkt betroffen gewesen. Auch in Indien gebe es keine Hinweise, dass jemand die Lücken ausgenutzt hat, bevor diese entdeckt und geschlossen wurden.
Vishal Baskar, der sich in seinem Medium-Blog loopsec nennt, hatte nach dem Kauf eines Gebrauchtwagens ein Problem: Als er mit der Smartphone-App des Herstellers auf die Daten seines Fahrzeugs zugreifen wollte, war die Eingabe eines One-Time-Passworts (OTP) nötig. Dies landete allerdings auf dem Smartphone des Vorbesitzers, der nicht auf Anrufe reagierte.
OTP-Problem als erste Spur
Die genauere Beschäftigung mit der App weckte dann allerdings die Neugierde des Technikinteressierten. Trotz diverser Falscheingaben der OTP-Zahl erfolgte keine Sperrung. Daraufhin installierte Baskar die Software Burp Suite, um die API-Aufrufe der App auf seinem iPhone auslesen zu können. Tatsächlich, so fand er heraus, war eine unbegrenzte Zahl an Versuchen möglich, sodass er schließlich mithilfe eines Python-Skripts die richtige Zahl ermittelte und Zugriff auf seinen Wagen nehmen konnte.
Aber mehr noch: Seiner Dokumentation zufolge entdeckte er bei dieser Gelegenheit, dass offene API-Endpunkte Daten wie Passwörter, Tokens und Benutzernamen im Klartext offenbarten. Nur mithilfe der Identifikationsnummer des Autos gelang ihm zudem der Zugriff auf Informationen über Service- und Wartungspakete – er habe Namen, Telefonnummern, Adressen, E-Mails, Fahrzeugdetails und Vertragsinformationen einsehen können, berichtet er.
VW reagierte mit Dankesschreiben
Auch die komplette Werkstatthistorie und Fahrzeugtelematikdaten habe er über die API aufrufen können. Ihm zufolge hätte man die Lücken nutzen können, um den Standort des Fahrzeugs aus der Ferne zu kontrollieren, etwa für Stalking. Auch ein Betrug mit den detaillierten persönlichen Informationen wäre möglich gewesen.
Baskar wandte sich mit diesen Erkenntnissen im November 2024 an Volkswagen. Neben der Schwierigkeit, den richtigen Ansprechpartner zu finden, habe es eine Weile gebraucht, bis die Mängel tatsächlich abgestellt wurden, berichtet er. Am 6. Mai 2025 habe er jetzt die Bestätigung bekommen. In einem Schreiben, das er in seinem Blog veröffentlicht hat, dankt ihm der Autohersteller ausdrücklich für seine Unterstützung. Zwar habe er keine Belohnung erhalten, freue sich aber, einen Beitrag zur Produktsicherheit eines verbreiteten Alltagsgegenstands geleistet zu haben, schreibt Baskar.
Volkswagen hat ein eigenes Postfach für Sicherheitsforscher, heißt es von der Pressestelle. Dies werde auch immer wieder genutzt, sodass mögliche Sicherheitslücken geschlossen werden können, bevor sie publik werden.
Die Stellungnahme von Volkswagen wurde ergänzt. Dieser zufolge handelte sich um ein lokales Problem, das auf Indien beschränkt war.
(mki)
