{"id":311653,"date":"2025-05-20T02:05:54","date_gmt":"2025-05-20T00:05:54","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=311653"},"modified":"2025-05-20T15:22:18","modified_gmt":"2025-05-20T13:22:18","slug":"vw-hack-per-otp-bypass-zugriff-auf-persoenliche-fahrzeugdaten","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2025\/05\/20\/vw-hack-per-otp-bypass-zugriff-auf-persoenliche-fahrzeugdaten\/","title":{"rendered":"VW-Hack per OTP-Bypass; Zugriff auf pers\u00f6nliche Fahrzeugdaten"},"content":{"rendered":"

\"Sicherheit[English<\/a>]Ein frustrierter K\u00e4ufer eines gebrauchten VW-Fahrzeugs konnte sich nicht f\u00fcr Connected Car registrieren, da die Daten an den Vorbesitzer gingen. Also hat er gleich mal genauer hingeschaut und konnte durch OTP-Bypassing die Server-Zugangsdaten ermitteln. Anschlie\u00dfend kam er mit Hilfe der Fahrgestellnummer an die Fahrzeughistorie und die pers\u00f6nlichen Daten des Vorbesitzers. Der Vorfall spielt in Indien – ich bin aber nicht sicher, ob die VW-App \"My Volkswagen\" nicht das Ganze genau so handhabt.<\/p>\n

<\/p>\n

\"\"Ich bin vor einigen Stunden \u00fcber nachfolgenden Tweet auf den Sachverhalt gesto\u00dfen, den White-Hat-Hacker LoopSec auf Medium im Beitrag Hacking My Car, and probably yours\u2014 Security Flaws in Volkswagen's App<\/a> dokumentiert hat.<\/p>\n

\"Hacking<\/p>\n

Fluch moderner Gebrauchtfahrzeuge<\/h2>\n

Der Kauf eines modernen Gebrauchtwagens w\u00e4chst sich im Zeiten von Connected-Cars zu einem H\u00fcrdenlauf f\u00fcr Neubesitzer und zum Datenrisiko f\u00fcr die Vorbesitzer aus. Ein Technik-Fan kaufte sich\u00a02024 ein gebrauchtes Auto von VW. Als Technikfan wollte er die Konnektivit\u00e4tsfunktionen zu erkunden. Sobald er sein neu gekauftes Auto geparkt hatte, installierte er sich die App My Volkswagen (\u0160KODA Auto Volkswagen India Pvt Ltd) auf seinem Smartphone.<\/p>\n

Wie registriert man sich als Gebrauchtk\u00e4ufer in der App?<\/h3>\n

Bei der Einrichtung wurde er nach der Fahrgestellnummer (VIN) des Autos gefragt – die findet sich direkt am Amaturenbrett und ist durch die Windschutzscheibe ablesbar. Im n\u00e4chste Schritt wurde ein vierstelliges OTP (One-Time Password) verlangt. Sollte ein Kinderspiel sein, diesen Code zu erhalten.<\/p>\n

Das OTP wurde an das Telefon des Vorbesitzers gesendet. Der K\u00e4ufer rief den Autoh\u00e4ndler an, um die Kontaktinformationen des Vorbesitzers zu erfahren. Obwohl er diese Telefonnummer bekamt, war der Vorbesitzer telefonisch nicht zu erreichen. Eine SMS war nach einer Stunde ohne Antwort geblieben.<\/p>\n

Das reizt zum Experimentieren. Ungeduldig versuchte der K\u00e4ufer einige zuf\u00e4llige Codes einzugeben, um zu sehen, ob sie funktionierten. Taten sie nat\u00fcrlich nicht, aber auch nach\u00a0etwa 10-15 Fehlversuche sperrte die App den K\u00e4ufer nicht von weiteren Versuchen aus.<\/p>\n

Brachialer OTP-Angriff<\/h3>\n

Der K\u00e4ufer fragte sich, was passiert, wenn er alle 10.000 Kombinationen durchprobiert? W\u00fcrde er ausgesperrt? Er konfigurierte sein iPhone so, dass er seine Burp Suite<\/a> zur Analyse der OTP-Anforderungen verwenden konnte. Dabei stie\u00df er auf diverse API-Aufrufe, von denen einer neue OTPs an den Server senden konnte. Da die Burp-Community-Version der Suite recht langsam war, die OTPs per API zu \u00fcbermitteln, entwickelte er ein im Medium-Beitrag dokumentiertes\u00a0Python-Skript.<\/p>\n

\"VW<\/p>\n

Innerhalb von Sekunden fand das Skript ein g\u00fcltiges OTP, und die App listete schlie\u00dflich das Fahrzeug zur Seriennummer auf.<\/p>\n

Schwachstellenanalyse durchgef\u00fchrt<\/h2>\n

An dieser Stelle war die Neugier des K\u00e4ufer geweckt, und er analysierte, welche Schwachstellen die App-Kommunikation mit dem VW-Server noch aufdecken w\u00fcrde.<\/p>\n

Schwachstelle 1: Interne Zugangsdaten im Klartext<\/h3>\n

Ein API-Endpunkt gab Passw\u00f6rter, Token und Benutzernamen f\u00fcr verschiedene interne Dienste im Klartext preis. Darunter fanden sich auch VW-interne Anwendungen, Details zur Zahlungsabwicklung und sogar CRM-Tools wie Salesforce.<\/p>\n

Schwachstelle 2: Pers\u00f6nliche Daten des Fahrzeugeigent\u00fcmers<\/h3>\n

Der Zugriff auf die Fahrzeugdaten wird in der App \u00fcber die\u00a0Fahrgestellnummer gesteuert.
\nEin weiterer API-Endpunkt enthielt f\u00fcr die angegebene Fahrgestellnummer, so der White-Hat-Hacker, alle Service- und Wartungspakete, die jemals f\u00fcr das Auto gekauft wurden.<\/p>\n

Jeder Eintrag zu einem Servicepaket enthielt umfangreiche Kundeninformationen, darunter Namen, Telefonnummern, Postanschriften, E-Mail-Adressen, Fahrzeugdetails (Modell, Farbe, Zulassungsnummer, Fahrgestellnummer, Motornummer), aktive Servicevertr\u00e4ge, Kaufdaten und Zahlungsbetr\u00e4ge, etc.<\/p>\n

Schwachstelle 3: Fahrzeug-Service-Historie<\/h3>\n

Ein weiterer, \u00fcber die \u00fcber die Fahrgestellnummer abrufbarer, Endpunkt enthielt die Service-Historie und Details zu den Arbeiten, die bei allen Besuchen des Service-Centers f\u00fcr ein beliebiges Fahrzeug durchgef\u00fchrt wurden.<\/p>\n

F\u00fcr jeden Werkstattbesuch gab es einen Eintrag mit Details zu den durchgef\u00fchrten Arbeiten, den pers\u00f6nlichen Daten des Kunden und sogar den Ergebnissen der Kundenbefragung f\u00fcr jeden dieser Besuche.<\/p>\n

Absolute Offenlegung aller Infos per API<\/h2>\n

Weitere API-Endpunkte lieferten der betreffenden Person Telematikdaten des Fahrzeugs und in einigen F\u00e4llen sogar \"educationQualification\"- und \"drivingLicense\"-Nummern. Der Betreffende hat die Details im oben verlinkten Medium-Artikel dokumentiert.<\/p>\n

Der Fall zeigt, wie gro\u00df das Ausma\u00df der Offenlegung von Kundendaten bei diesem Fall ist. Jede beliebige Person konnte ein Fahrzeug zur App hinzuf\u00fcgen und dann Zugang zu allen verf\u00fcgbaren Informationen und Steuerungen f\u00fcr das Fahrzeug erhalten.\u00a0Dazu geh\u00f6rten unter anderem der Standort des Fahrzeugs, der Zustand des Motors, die Kraftstoffstatistik, der Reifendruck und die Kontrolle des Geo-Fencing.<\/p>\n

Au\u00dferdem waren alle pers\u00f6nlichen Daten wie Adresse, Telefonnummer, E-Mail, F\u00fchrerschein und sogar die Wartungshistorie, Beschwerden und Probleme des Fahrzeugbesitzers zug\u00e4nglich.<\/p>\n

Das Ganze erinnert mich an den im Blog-Beitrag VW-Datenleck: Terabyte an Bewegungsdaten von E-Fahrzeugen<\/a> skizzierten Sachverhalt, wo pers\u00f6nliche Daten (war wann wo im Bordell war) von Fahrzeugen abrufbar waren. Auch hier spielte die VW-App eine unr\u00fchmliche Rolle.<\/p>\n

Der Fall zeigt erneut, dass der always connect und App-Wahn dazu f\u00fchrt, dass den Leuten die Kontrolle \u00fcber ihre Daten entgleiten. Wobei das f\u00fcr deutsche Fahrzeugbesitzer kein wirklichen Problem darstellt. Einmal gilt \"wer interessiert sich schon f\u00fcr meine Daten\". Und dass ein Hacker unberechtigt auf diese Daten zugreift, ist in Deutschland ausgeschlossen.<\/p>\n

Der oben erw\u00e4hnte White-Hat-Hacker musste ja einen Zugang per OTP aushebeln. Das ist nach \u00a7 202c des Strafgesetzbuchs (StGB) in Deutschland ja streng verboten und unter Strafe gestellt. Das Ganze ist also sicher – denn davon werden sich die Hacker – oder Kriminelle, die ein Fahrzeug ausspionieren m\u00f6chten, sicherlich beeindrucken und die Finger von lassen.<\/p>\n

Ok, der \"Hacker\" hat VW in 2024 kontaktiert und auf die Probleme hingewiesen. Es dauerte etwas, aber die Probleme wurden angeblich am 6. Mai 2025 beseitigt.<\/p>\n

\u00c4hnliche Artikel:<\/strong>
\nVW-Datenleck: Terabyte an Bewegungsdaten von E-Fahrzeugen<\/a>
\nSicherheitsl\u00fccke: Festes Passwort f\u00fcr Datenbankzugriff bei EVA-Software (VW-, Audi-H\u00e4ndler)<\/a>
\nConnected Car-Schwachstellen und PKW-Datensammelwut<\/a>
\nConnected Cars anf\u00e4llig f\u00fcr Cyberangriffe<\/a>
\nConnected Cars: Risiko f\u00fcr Land Rover-Gebrauchtwagenk\u00e4ufer<\/a>
\nFahrzeuge aus China: Kunden sorgen sich um Datenschutz<\/a>
\nDatensammlung bei Tesla-Fahrzeugen<\/a>
\nModerne (Tesla-)Fahrzeuge als (un-)heimliche Datensammler<\/a>
\nEU-Kidnapping: Autonome Fahrzeugdaten geh\u00f6ren dem Hersteller?<\/a>
\nUngesicherte Datenbank mit Fahrzeugdaten<\/a>
\nDatenschutzverfahren gegen chinesischen E-Auto-Hersteller Nio<\/a>
\nKIA-Schwachstelle: Millionen Fahrzeuge hack- und trackbar<\/a>
\nAutomobile IT-Fehlentwicklungen: Touchbedienung als Risiko; Datenerfassung als Falle f\u00fcr Besitzer<\/a>
\nDatenschutz-GAU neues Auto \u2013 Mozilla untersucht Situation in den USA, folgt Europa?<\/a>
\nSoftware: Unser Grab als PKW-Besitzer der Zukunft?<\/a>
\nBluetooth Low Energy-Schwachstelle und der Tesla-Auto-Klau<\/a>
\nServer-Fehler: Tesla-Fahrzeuge lassen sich nicht remote \u00f6ffnen<\/a>
\nToyota bindet neue Automodelle in die Cloud ein<\/a>
\nPKW-Sicherheit: Kia-Challenge und Hyundai-Key im Web<\/a>
\nFail: Toyota erm\u00f6glicht den Remote-Start seiner vernetzten PKWs nur mit Monats-Abo<\/a>
\nAuch bei Honda und Acura gab es einen Year 2K22-Bug<\/a>
\nSicherheitsl\u00fccken in Connected Cars erm\u00f6glichen Remote Zugriff bei Honda, Nissan, Infiniti, Acura etc.<\/a>
\nMercedes: Beschleunigungsfunktion f\u00fcr EQ-Modelle nur mit 1200 $-Jahresabo<\/a>
\nCrowd-Recherche: \"Datenspende\", was wissen PKW-Hersteller \u00fcber Kunden?<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Ein frustrierter K\u00e4ufer eines gebrauchten VW-Fahrzeugs konnte sich nicht f\u00fcr Connected Car registrieren, da die Daten an den Vorbesitzer gingen. Also hat er gleich mal genauer hingeschaut und konnte durch OTP-Bypassing die Server-Zugangsdaten ermitteln. Anschlie\u00dfend kam er mit Hilfe der … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[7263,8537,426,7459],"tags":[8591,2564,4328,8590],"class_list":["post-311653","post","type-post","status-publish","format-standard","hentry","category-cloud","category-problem","category-sicherheit","category-software","tag-fahrzeug","tag-hack","tag-sicherheit","tag-vw"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/311653","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=311653"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/311653\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=311653"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=311653"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=311653"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}