Satclub-Thueringen (http://www.satclub-thueringen.de/index.php)
- Allgemeines (http://www.satclub-thueringen.de/board.php?boardid=38)
-- Off - Topic (http://www.satclub-thueringen.de/board.php?boardid=26)
--- VW-App gehackt: Sensible Kundendaten in Gefahr (http://www.satclub-thueringen.de/thread.php?threadid=35035)

Geschrieben von Whitebird am 21.05.2025 um 10:06:

Lampe VW-App gehackt: Sensible Kundendaten in Gefahr

VW-App gehackt: Sensible Kundendaten in Gefahr
Eine gravierende Schwachstelle in der offiziellen VW-App erlaubte es Angreifern, mit minimalem Aufwand Zugriff auf fremde Autos und persönliche Daten zu erlangen.
Autor: Sebastian Thöing • 20.5.2025


Moderne Autos sind rollende Computer. Sie sind vernetzt und softwaregesteuert. Doch wie sicher sind die digitalen Systeme, die inzwischen zentrale Funktionen von Fahrzeugen übernehmen? Eine aktuelle Recherche offenbart: Bei Volkswagen offenbar weniger, als man erwarten würde. Ein Sicherheitsforscher hat nämlich eine gravierende Schwachstelle in der offiziellen VW-App aufgedeckt.

Die Brisanz liegt nicht nur in der technischen Leichtigkeit, mit der ein Angriff möglich war, sondern auch in seinen Konsequenzen. Wer über die Fahrzeugidentifikationsnummer (FIN) verfügte – die übrigens gut sichtbar hinter jeder Windschutzscheibe zu erkennen ist – konnte ohne großen Aufwand fremde Autos zur eigenen App hinzufügen. Die Folge: Zugang zu privaten Nutzerdaten, Bewegungsprofilen, Fahrzeugstandorten und sogar technischen Fahrzeugdaten wie Reifendruck, Motorstatus und Tankfüllung. Besonders bedenklich: Auch sensible personenbezogene Daten wie Adresse, Telefonnummer und E-Mail waren abrufbar.


Einfaches Ausprobieren genügte

Möglich wurde dieser Zugriff durch eine erschreckend simple Schwachstelle im Authentifizierungsverfahren der VW-App. Diese verschickte zur Verifizierung nach Eingabe der FIN eine vierstellige Einmal-PIN (OTP) – jedoch ohne Begrenzung der Eingabeversuche. Das bedeutet: Wer den Code nicht erhielt, konnte einfach automatisiert alle Kombinationen durchprobieren.

Wie das IT-Sicherheitsportal Medium erklärt, wurde Volkswagen bereits im November 2024 über das Problem informiert und reagierte laut den beteiligten Sicherheitsforschern zügig. Der Fix wurde im Mai 2025 ausgerollt. Doch der Schaden ist nicht allein technischer Natur. Die bloße Existenz einer derart elementaren Sicherheitslücke wirft grundsätzliche Fragen auf: Wie konnte eine App, die mit persönlichen Daten und Fahrzeugzugängen arbeitet, derart ungeschützt auf den Markt kommen? Und inwieweit nimmt der Konzern seine Verantwortung gegenüber Millionen Nutzern ernst?

Datenschützer zeigen sich jedenfalls alarmiert. Die EU-Datenschutzgrundverordnung verpflichtet Unternehmen nämlich zur Umsetzung geeigneter technischer Schutzmaßnahmen. Eine App, die keine Sperrmechanismen für PIN-Eingaben vorsieht, könnte diesen Anforderungen kaum gerecht werden. Das Vertrauen der Verbraucher in digitale Fahrzeugdienste steht auf dem Spiel.

Denn auch wenn Volkswagen inzwischen nachgebessert hat, raten IT-Experten zur Vorsicht. Sofern möglich, sollte die FIN verdeckt werden – etwa durch eine geeignete Abdeckung im Armaturenbrett. Denn trotz des geschlossenen Sicherheitslochs gilt: Ein potenzieller Angreifer braucht weder spezielle Hardware noch Expertenwissen – sondern nur die Geduld, ein paar Tausend vierstellige Codes durchzuprobieren.

quelle: connect.de


Forensoftware: Burning Board 2.3.6, entwickelt von WoltLab GmbH