Ein Sicherheitsforscher hat eine gravierende Schwachstelle in der offiziellen Volkswagen-App entdeckt. Angreifer können fremde Fahrzeuge problemlos zur eigenen App hinzufügen. Zugriff auf vertrauliche Daten, darunter Standort, Fahrzeugstatus und persönliche Nutzerinformationen, ist ohne technische Vorkenntnisse möglich – ein Einblick durch die Autoscheibe genügt (winfuture: 19.05.25).
Angreifer brauchen nur die Fahrgestellnummer
Die Lücke nutzt eine Schwäche im Verifizierungsprozess der App. Wer die Fahrzeugidentifikationsnummer (FIN) kennt, kann sich systematisch Zugriff verschaffen. Diese Nummer ist in fast jedem Auto durch die Frontscheibe sichtbar. Nach Eingabe der FIN fragt die App nach einem vierstelligen Einmalcode, der eigentlich per SMS an den Fahrzeughalter gesendet wird. Das Problem: Die App lässt unbegrenzt viele Eingabeversuche zu.
Ein Script kann sämtliche Kombinationen automatisiert testen – bei nur 10.000 Möglichkeiten kein aufwendiger Vorgang. Es fehlt sowohl eine Begrenzung der Versuche als auch eine Sperrzeit bei Fehlversuchen. Ein digitaler Einbruch wird so zum Kinderspiel, besonders für Kriminelle mit Geduld.
Voller Zugriff auf Standort und Nutzerdaten
Die Folgen reichen weit über einfache Spielereien hinaus. Ein erfolgreicher Angriff liefert präzise Standortdaten in Echtzeit. Zudem lassen sich Reifendruck, Tankfüllstand und Motorstatus auslesen. Kritischer noch: Auch persönliche Daten wie E-Mail-Adresse, Telefonnummer und sogar die Heimatanschrift werden offengelegt. Die Kontrolle über das Auto bleibt physisch zwar beim Besitzer, doch der digitale Zugriff liegt in fremden Händen.
Schon in der Vergangenheit sorgten ähnliche Fälle für Schlagzeilen. Hyundai und Kia litten unter Fernzugriffsproblemen, bei Tesla gelang Sicherheitsforschern der Zugang zur Autopilot-Software. Auch Skoda, eine VW-Tochter, war 2024 Ziel von Bluetooth-basierten Angriffen. Der aktuelle Fall setzt dem jedoch die Krone auf – der Zugang erfolgt allein über Informationen, die öffentlich sichtbar sind.
Versäumnisse in der App-Entwicklung
Nach Einschätzung von IT-Experten liegt die Schwäche in einem elementaren Entwicklungsfehler. Sicherheitsstandards für Apps schreiben Begrenzungen bei Codeeingaben längst vor. Viele Plattformen sperren Nutzer nach wenigen Fehlversuchen. Die Volkswagen-App hingegen ließ beliebig viele Eingaben zu – ein Verhalten, das als grob fahrlässig gilt.
Laut dem Portal Medium informierte der Forscher den Konzern bereits im November 2024. Im Mai 2025 folgte schließlich ein Update, das die Lücke schließen soll. Das VW-Sicherheitsteam zeigte sich demnach kooperativ und reagierte schnell auf die Hinweise. Dennoch stellt sich die Frage, wie eine derart grundlegende Schwäche überhaupt entstehen konnte – und warum sie nicht frühzeitig erkannt wurde.
Was Nutzer jetzt tun können
Trotz des veröffentlichten Patches bleibt die Sorge bestehen. Denn selbst wenn die App aktualisiert wurde, kann ein potenzieller Angreifer weiterhin mit einer älteren Version arbeiten. Sicherheitsexperten raten deshalb, die FIN möglichst abzudecken, etwa mit einem Aufkleber. Das erschwert zumindest den Einstieg in den Angriff.
Außerdem erscheint eine generelle Sensibilisierung für Datenschutz im Fahrzeugumfeld geboten. Immer mehr Funktionen laufen digital – doch mit jedem Feature steigt das Risiko. Die DSGVO verlangt strenge Schutzmechanismen, doch deren Umsetzung hinkt der technischen Entwicklung häufig hinterher.
Der Fall zeigt exemplarisch, wie viel Verantwortung heute bei Softwareentwicklern liegt. Eine App genügt, um intime Details über ein fremdes Auto offenzulegen. Für VW-Kunden bleibt ein bitterer Nachgeschmack – und die Erkenntnis, dass auch große Hersteller digitale Sicherheit nicht immer im Griff haben.
Lesen Sie auch: