Volkswagen hat durch einen Entwickler erfahren, dass fremde Autos über offizielle Apps zu leicht hinzugefügt werden können und Fremde an viele Daten herankommen könnten. Allein die Fahrzeugnummer, die in der Windschutzscheibe zu sehen ist, hätte für einen Brute-Force-Angriff ausreichen können, um Zugriff auf Nutzerdaten zu kriegen, die bei VW hinterlegt sind.
Das Grundproblem lag wohl darin, dass die VW-App unbegrenzt viele Versuche zur Eingabe des vierstelligen OTP-Codes zugelassen hat. Mit einen entsprechenden Script könnte ein Angriff auf Nutzerdaten erfolgreich sein. Was fatale Folgen hat, denn durch dadurch werden Kundendaten wie Name, Adresse, Telefonnummer, E-Mail, Fahrzeugdaten, Serviceverträge zugänglich.
„Was wäre, wenn ich alle 10.000 Kombinationen mit Brute-Force-Methoden erzwingen würde?“
Jeder kann theoretisch ein fremdes Fahrzeug in die App auf dem eigenen Smartphone hinzufügen und über die App auf alle verfügbaren Informationen und Steuerelemente für das Fahrzeug zugreifen, schreibt LoopSec. Heute ist das bei nahezu jedem Fahrzeug möglich, alle sind verbunden und haben Konnektivitätsfunktionen. Es braucht nur die VIN aus der Windschutzscheibe und so viele Versuche, bis bei den unzähligen OTP-Versuchen irgendwann ein Treffer gelandet wird.
Nach der Kontaktaufnahme mit VW im November 2026 hat Volkswagen im Mai 2025 bestätigt, für das Sicherheitsproblem einen Fix auszurollen.
Hey Du, abonniere jetzt unseren WhatsApp-Newsletter-Kanal kostenlos!