[English]Ein frustrierter Käufer eines gebrauchten VW-Fahrzeugs konnte sich nicht für Connected Car registrieren, da die Daten an den Vorbesitzer gingen. Also hat er gleich mal genauer hingeschaut und konnte durch OTP-Bypassing die Server-Zugangsdaten ermitteln. Anschließend kam er mit Hilfe der Fahrgestellnummer an die Fahrzeughistorie und die persönlichen Daten des Vorbesitzers. Der Vorfall spielt in Indien – ich bin aber nicht sicher, ob die VW-App "My Volkswagen" nicht das Ganze genau so handhabt.
Admin-Passwörter schützen mit Windows LAPS. eBook jetzt herunterladen » (Anzeige)
Ich bin vor einigen Stunden über nachfolgenden Tweet auf den Sachverhalt gestoßen, den White-Hat-Hacker LoopSec auf Medium im Beitrag Hacking My Car, and probably yours— Security Flaws in Volkswagen's App dokumentiert hat.
Fluch moderner Gebrauchtfahrzeuge
Der Kauf eines modernen Gebrauchtwagens wächst sich im Zeiten von Connected-Cars zu einem Hürdenlauf für Neubesitzer und zum Datenrisiko für die Vorbesitzer aus. Ein Technik-Fan kaufte sich 2024 ein gebrauchtes Auto von VW. Als Technikfan wollte er die Konnektivitätsfunktionen zu erkunden. Sobald er sein neu gekauftes Auto geparkt hatte, installierte er sich die App My Volkswagen (ŠKODA Auto Volkswagen India Pvt Ltd) auf seinem Smartphone.
Wie registriert man sich als Gebrauchtkäufer in der App?
Bei der Einrichtung wurde er nach der Fahrgestellnummer (VIN) des Autos gefragt – die findet sich direkt am Amaturenbrett und ist durch die Windschutzscheibe ablesbar. Im nächste Schritt wurde ein vierstelliges OTP (One-Time Password) verlangt. Sollte ein Kinderspiel sein, diesen Code zu erhalten.
Das OTP wurde an das Telefon des Vorbesitzers gesendet. Der Käufer rief den Autohändler an, um die Kontaktinformationen des Vorbesitzers zu erfahren. Obwohl er diese Telefonnummer bekamt, war der Vorbesitzer telefonisch nicht zu erreichen. Eine SMS war nach einer Stunde ohne Antwort geblieben.
Das reizt zum Experimentieren. Ungeduldig versuchte der Käufer einige zufällige Codes einzugeben, um zu sehen, ob sie funktionierten. Taten sie natürlich nicht, aber auch nach etwa 10-15 Fehlversuche sperrte die App den Käufer nicht von weiteren Versuchen aus.
Brachialer OTP-Angriff
Der Käufer fragte sich, was passiert, wenn er alle 10.000 Kombinationen durchprobiert? Würde er ausgesperrt? Er konfigurierte sein iPhone so, dass er seine Burp Suite zur Analyse der OTP-Anforderungen verwenden konnte. Dabei stieß er auf diverse API-Aufrufe, von denen einer neue OTPs an den Server senden konnte. Da die Burp-Community-Version der Suite recht langsam war, die OTPs per API zu übermitteln, entwickelte er ein im Medium-Beitrag dokumentiertes Python-Skript.
Innerhalb von Sekunden fand das Skript ein gültiges OTP, und die App listete schließlich das Fahrzeug zur Seriennummer auf.
Schwachstellenanalyse durchgeführt
An dieser Stelle war die Neugier des Käufer geweckt, und er analysierte, welche Schwachstellen die App-Kommunikation mit dem VW-Server noch aufdecken würde.
Schwachstelle 1: Interne Zugangsdaten im Klartext
Ein API-Endpunkt gab Passwörter, Token und Benutzernamen für verschiedene interne Dienste im Klartext preis. Darunter fanden sich auch VW-interne Anwendungen, Details zur Zahlungsabwicklung und sogar CRM-Tools wie Salesforce.
Schwachstelle 2: Persönliche Daten des Fahrzeugeigentümers
Der Zugriff auf die Fahrzeugdaten wird in der App über die Fahrgestellnummer gesteuert.
Ein weiterer API-Endpunkt enthielt für die angegebene Fahrgestellnummer, so der White-Hat-Hacker, alle Service- und Wartungspakete, die jemals für das Auto gekauft wurden.
Jeder Eintrag zu einem Servicepaket enthielt umfangreiche Kundeninformationen, darunter Namen, Telefonnummern, Postanschriften, E-Mail-Adressen, Fahrzeugdetails (Modell, Farbe, Zulassungsnummer, Fahrgestellnummer, Motornummer), aktive Serviceverträge, Kaufdaten und Zahlungsbeträge, etc.
Schwachstelle 3: Fahrzeug-Service-Historie
Ein weiterer, über die über die Fahrgestellnummer abrufbarer, Endpunkt enthielt die Service-Historie und Details zu den Arbeiten, die bei allen Besuchen des Service-Centers für ein beliebiges Fahrzeug durchgeführt wurden.
Für jeden Werkstattbesuch gab es einen Eintrag mit Details zu den durchgeführten Arbeiten, den persönlichen Daten des Kunden und sogar den Ergebnissen der Kundenbefragung für jeden dieser Besuche.
Absolute Offenlegung aller Infos per API
Weitere API-Endpunkte lieferten der betreffenden Person Telematikdaten des Fahrzeugs und in einigen Fällen sogar "educationQualification"- und "drivingLicense"-Nummern. Der Betreffende hat die Details im oben verlinkten Medium-Artikel dokumentiert.
Der Fall zeigt, wie groß das Ausmaß der Offenlegung von Kundendaten bei diesem Fall ist. Jede beliebige Person konnte ein Fahrzeug zur App hinzufügen und dann Zugang zu allen verfügbaren Informationen und Steuerungen für das Fahrzeug erhalten. Dazu gehörten unter anderem der Standort des Fahrzeugs, der Zustand des Motors, die Kraftstoffstatistik, der Reifendruck und die Kontrolle des Geo-Fencing.
Außerdem waren alle persönlichen Daten wie Adresse, Telefonnummer, E-Mail, Führerschein und sogar die Wartungshistorie, Beschwerden und Probleme des Fahrzeugbesitzers zugänglich.
Das Ganze erinnert mich an den im Blog-Beitrag VW-Datenleck: Terabyte an Bewegungsdaten von E-Fahrzeugen skizzierten Sachverhalt, wo persönliche Daten (war wann wo im Bordell war) von Fahrzeugen abrufbar waren. Auch hier spielte die VW-App eine unrühmliche Rolle.
Der Fall zeigt erneut, dass der always connect und App-Wahn dazu führt, dass den Leuten die Kontrolle über ihre Daten entgleiten. Wobei das für deutsche Fahrzeugbesitzer kein wirklichen Problem darstellt. Einmal gilt "wer interessiert sich schon für meine Daten". Und dass ein Hacker unberechtigt auf diese Daten zugreift, ist in Deutschland ausgeschlossen.
Der oben erwähnte White-Hat-Hacker musste ja einen Zugang per OTP aushebeln. Das ist nach § 202c des Strafgesetzbuchs (StGB) in Deutschland ja streng verboten und unter Strafe gestellt. Das Ganze ist also sicher – denn davon werden sich die Hacker – oder Kriminelle, die ein Fahrzeug ausspionieren möchten, sicherlich beeindrucken und die Finger von lassen.
Ok, der "Hacker" hat VW in 2024 kontaktiert und auf die Probleme hingewiesen. Es dauerte etwas, aber die Probleme wurden angeblich am 6. Mai 2025 beseitigt.
Ähnliche Artikel:
VW-Datenleck: Terabyte an Bewegungsdaten von E-Fahrzeugen
Sicherheitslücke: Festes Passwort für Datenbankzugriff bei EVA-Software (VW-, Audi-Händler)
Connected Car-Schwachstellen und PKW-Datensammelwut
Connected Cars anfällig für Cyberangriffe
Connected Cars: Risiko für Land Rover-Gebrauchtwagenkäufer
Fahrzeuge aus China: Kunden sorgen sich um Datenschutz
Datensammlung bei Tesla-Fahrzeugen
Moderne (Tesla-)Fahrzeuge als (un-)heimliche Datensammler
EU-Kidnapping: Autonome Fahrzeugdaten gehören dem Hersteller?
Ungesicherte Datenbank mit Fahrzeugdaten
Datenschutzverfahren gegen chinesischen E-Auto-Hersteller Nio
KIA-Schwachstelle: Millionen Fahrzeuge hack- und trackbar
Automobile IT-Fehlentwicklungen: Touchbedienung als Risiko; Datenerfassung als Falle für Besitzer
Datenschutz-GAU neues Auto – Mozilla untersucht Situation in den USA, folgt Europa?
Software: Unser Grab als PKW-Besitzer der Zukunft?
Bluetooth Low Energy-Schwachstelle und der Tesla-Auto-Klau
Server-Fehler: Tesla-Fahrzeuge lassen sich nicht remote öffnen
Toyota bindet neue Automodelle in die Cloud ein
PKW-Sicherheit: Kia-Challenge und Hyundai-Key im Web
Fail: Toyota ermöglicht den Remote-Start seiner vernetzten PKWs nur mit Monats-Abo
Auch bei Honda und Acura gab es einen Year 2K22-Bug
Sicherheitslücken in Connected Cars ermöglichen Remote Zugriff bei Honda, Nissan, Infiniti, Acura etc.
Mercedes: Beschleunigungsfunktion für EQ-Modelle nur mit 1200 $-Jahresabo
Crowd-Recherche: "Datenspende", was wissen PKW-Hersteller über Kunden?
MVP: 2013 – 2016
"Es dauerte etwas, aber die Probleme wurden angeblich am 6. Mai 2025 beseitigt."
Genial, dann können die Kunden ja jetzt gaaanz beruhigt sein, weil ihre Daten nun aber wirklich und 100%ig vor unbefugtem Zugriff sicher sind – und selbstverständlich bis in alle Ewigkeit… Amen… ähh Prost wollte ich sagen.
***************************************
Jede beliebige Person konnte ein Fahrzeug zur App hinzufügen und dann Zugang zu allen verfügbaren Informationen und Steuerungen für das Fahrzeug erhalten
***************************************
Wohl eher nicht! Wer bitte außerhalb IT affinen Menschen da draußen weiß bitteschön überhaupt was eine API ist, geschweige den kann diese dann auch nutzen? Nen Python Script erstellen für den API Zugriff?
Der Artikel gibt ja selbst an das die Verbindung scheiterte, da die entsprechenden Codes nicht an das neue Handy gingen, erst als das Ganze gehackt wurde, bekam man Zugriff!
Die ganze "connectivity" ist natürlich unschön… und so ein Auto kämme mir nie in den Sinn. Da ich aber eh auf Klassiker stehe ist das kein Problem … ODB/ODB2 ist das höchste der Gefühle und die senden nicht nach Hause! Werkstattbesuche gehen auch nicht an den Hersteller , da ich das selbst erledige und ich werde einen Teufel tun die dem Hersteller zu übermitteln ;-P
Ja Hacker können je nach Wissen/Können alles infiltrieren…. diese jede beliebige Person ist mal wieder eine maßlose Übertreibung dieses Blogs unwürdig!
Passiert in den letzten Monaten immer mehr: ne Mücke wird zum Elefanten hochgepusht…
Grundsätzlich stimme ich dir zu – für Lieschen Müller aus der Buchhaltung mag das Szenario ferner sein als der Mars von der Erde. Allerdings reichen bereits eine Handvoll an technikversierten aus, um solche Daten abzugreifen. Und seien wir uns mal ehrlich…. 10.000 Code via Bruteforce abzusenden, ist auch nicht mal ein zeitkritischer Anwendungsfall!!!
Möchtest du, das alleine die Möglichkeit besteht, das deine Daten von unberechtigten Dritten abgerufen werden können?
Sicherlich kann man hier den VW-App-Entwicklern den Vorwurf machen, eine "Kleinigkeit" übersehen zu haben, das nach x Fehlversuchen die App gesperrt wird.
Ich empfinde das mittlerweile als schon bedenklich, das die Softwarequalität so dermaßen sinkt. Aus welchen Gründen auch immer! Aber die Dev-Basics zur Absicherung sollten doch jeden Programmierer im Kopf sein.
Allein schon das Zugangsdaten für interne Dienste in der API bereitgestellt wurden, ist ein Ding was nicht in meinen Kopf will.
Nur… spinnen wir hier mal etwas weiter. Wenn hier schon schlampig… und das meine ich genau so wie ich gesagt habe, entwickelt wird – wie siehts in anderen Systemen aus? Auch der ganze Telemetrie-Aufzeichnungswahnsinn gerät halt auch außer Kontrolle….
Naja… VW investiert halt doch nur wirklich in die Motor-/Abgassoftware 😉
Finde jetzt nicht, das Günter übertreibt. Im Gegenteil. Der Zugang zu den Daten war deutlich zu einfach und auf dem Niveau eines Hobby-Hackers. Der Schutz vor Brute-Force für OTP nicht vorhanden. Wenn solch banale Schutzmechanismen fehlen, will ich eigentlich gar nicht so genau wissen wie der Rest aussieht. Absolut stümperhaft.
Schlimm, dass die persönlichen Daten der Besitzer inkl. persönlicher Angaben überhaupt per API abrufbar sind! Aber hey, interessiert heute wohl niemanden mehr. Problematisch ist hierbei, dass Bot-Netze z.B. ganze Datenbanken mit sämtlichen Daten von Autos füllen können wenn es so einfach ist. Oder eben ganz gezielte Abfragen.
@luzifer, sicher vor dem Zugriff für deine Mutter ist nicht sicher genug.
die Gruppe der von dir genannten Technik Affinen ist viel zu groß.
es ist hier keine maßlose Übertreibung, es ist ein wichtiger permanenter Hinweis und ein Gegengewicht zu:
– das ist Software, da kann man nichts machen (gruss an fefe)
– du bist Schuld, du hast nicht gepatcht
– Januar 2025, bester patchday ever ever 167 Lücken geschlossen, die feiern sich dafür, das es kaputt ist und sie tolle Pflaster haben
die Sche***e ist kaputt, schlecht programmiert und die Presse inkl der Hersteller schaffen es, das wir Kunden mittlerweile Schuld sind. das sie leider echt nichts machen können …
Bisher haben hinter jedem Hacker-Angriff IT-affine Menschen gesteckt, und sei es nur als Werkzeug-Verkäufer.
Als Werkzeug-Nutzer suche ich mir dann ein Auto auf dem Parkpklatz aus, lese durch die Windschutzscheibe die Fahrgestellnummer aus und öffne es mit der verbotenen Hacker -App und muß dafür nicht einmal einen Scheinwerfer ausbauen…
Das perfekte Verbrechen ohne eine einzige erkennbare Spur.
Dazu noch Konto- und Bewegungsdaten eines Fahrzeugs, das auf einem Unternehmensvorstandsparkplatz steht und vielleicht sogar Zugang zu Assistenzkameras?
Günther hat schon recht, das ist ja in Deutschland nicht von Bedeutung…
Das "Jede beliebige Person" bezieht sich darauf, dass es keinerlei Einschränkungen gab, die den Zugriff verhindert hätten. Sprich es bedürfte keinerlei Einzelfall-bezogener Kenntnisse, es bedürfte (neben etwas Nerd-hafter Neugier) lediglich der öffentlich einsehbaren VIN (die bei den meisten Autos gut lesbar hinter der Windschutzscheibe steht).
Man hätte die Kopplung über ein OTP authentifizieren können, das das Auto in irgendwelchen Tiefen des Bordcomputers ausgibt, meinetwegen mit LIFO – die aktuellste Anmeldung auf die jeweilige VIN ist die gültige, vorherige werden getrennt (mit Hinweis in der App), so dass bei Fahrzeugverkauf der Neubesitzer den Alteigentümer automatisch trennt.
Man hätte hätte nach einer überschaubaren Zahl von Fehlversuchen für 24h blocken können – inklusive Info an alle auf die betreffende VIN registrierte Nutzer (was z. B. jeder bessere Mailhoster macht).
So ist es ein offenes Scheunentor gewesen. Es wurde eben nicht gehackt. Sorry, aber "da draußen" gibt es genug Leute, die wissen, was eine API ist. Auch eine automatisierte Versendung solcher Aufrufe ist alles aber kein Hexenwerk. Wie eingangs gesagt – dazu muss man kein ominöser Hacker sein. "Hacken" bedeutet (für mich), dass eine effektive Sicherheitsbeschränkung ausgehebelt wurde. Das reine Ausprobieren mehrerer PIN ist dies eben nicht. Bist du ein Hacker wenn du feststellst, dass deine Bank versemmelt hat, an ihrem Bankautomaten nach drei falschen PIN-Eingaben deine Karte einzubehalten? Bei willkürlich geschätzten 3 Sekunden pro Fehlversuch bist du spätestens nach 10000 Versuchen = 30000 Sekunden = gut 8 Stunden durch, mit einer Prise Stochastik halbiert sich das ganze (da du wahrscheinlich nach 50% schon die richtige Zahl erwischt hast). Oder dann ein Hacker, wenn du das ganze automatisierst (wieso muss ich gerade an den "Homer's typing Bird" von den Simpons denken)? Oder wenn du das nicht mechanisch, sondern elektronisch machst, weil du nach 20min Recherche rausfindest, dass du die Abfragen die der Geldautomat macht, auch selbst versenden kannst?
@Luzifer
Was glaubst Du, wie lange es in etwa dauern würde, bis
a. diese Schweinerei im großen Stil ausgenutzt werden würde, bzw. von Kriminellen eventuell
schon längst ausgenutzt wird?
b. es fertige Tools dafür gibt?
Gut, die allermeisten interessieren sich nicht für solche Schweinereien, Hauptsache bequem!
Aber mich z. B. interessiert es schon, was der Hersteller so alles über mich und MEIN Fahrzeug so an Daten sammelt!
Und ich bin dagegen, aber es wird dennoch gemacht!
Wenn ich die Möglichkeit hätte und so ein KfZ besitzen würde, wäre es toll, wenn ich diesen Scheiß abstellen könnte!
Dank ChatGPT eigentlich fast jeder.
Echte IT made in germoney. ISO 9001 und mit TÜV Siegel.
+27001, damit es wirklich(!) sicher ist und wenn "Wir" zu den Top-Firmen gehören inkl. BSI-Grundschutz Zertifizierung, da können sich die Häcker erstmal warm anziehen!
:D
*ironie off*
Das wird bei einigen anderen Herstellern wohl ähnlich verlaufen.
Für Menschen die keine sehr tiefen IT-Kenntnisse besitzen ist das wohl mehr als unmöglich. Also nicht übertreiben.
Mit dem entsprechenden Tool und der kriminellen Energie, ist es ein leichtes.
Insbesondere, wenn solche Tools als SaaS angeboten werden.
Otto "Normal" kann schon mit Saas nichts anfangen. Viele können ja nicht einmal unfallfrei Ihren eigenen PC ordentlich bedienen.
Oft findet man solche Skripte auch einfach im Netz, dann kann es jeder. ;-)
Das ganze fügt sich nahtlos in das multiple Versagen von Volkswagen ein. Die Frage ist, ob es bei den anderen Herstellern wirklich besser ist. Typisch Software aus Indien eben.
Es ist mit Sicherheit auch bei anderen Herstellern nicht anders!
Daten sind das Gold von Morgen, hat mal eine Person gesagt, wer war das noch mal, … ?
„ Der Käufer rief den Autohändler an, um die Kontaktinformationen des Vorbesitzers zu erfahren. Obwohl er diese Telefonnummer bekam…"
Liegt da nicht auch schon ein Fehler, oder war da irgendwo geregelt, dass der Händler die Nummer rausgeben durfte?
Natürlich. Genau das dachte ich mir auch.
Fehlerquelle Mensch. Man gibt nicht einfach ungefragt Kontaktinformationen Fremder aus.
Da fehlt das Bewusstsein.
In Indien ist die DSGVO eher nicht so ein Ding.
Die haben das DPDPA 2025 (Digital Personal Data Protection Act).
Interessant @Michael B. In der Tat DSGVO-ähnlich. Siehe DPDP @Wikipedia oder als PDF hier.
Rechte und Grundbegriffe sind gleich zB. "right to correction, completion, updating and erasure" [Abs12-14]. Kerngedanken vorhanden. Wikipedia ist bei "Comparison with GDPR" recht anschaulich. Der indische Ansatz passt auf nur 21 Seiten PDF ;-)
Mag insbesondere den Begriff "Data Fiduciary", Daten-Treuhänder (also nicht ein Gewinnorientierter Datenverarbeiter. Nein, in Indien gibt's noch Werte ;-) Ebenso toll selbst auf nur 21 Seiten: Zig "Illustraions" als anschauliche Auslegungshilfe.
Solange die Rennleitung nicht online nachverfolgen kann, wann ich wo wie schnell gefahren bin, ist alles in Butter ;-)
Aber auch das wir irgendwann kommen, Blackboxen gibts ja schon jetzt.
Nicht online, aber offline.
Da gabs erst kürzlich einen Fall, bei dem ein LKW-Fahrer wegen überhöhter Geschwindigkeit erwischt wurde.
Und durch das Auslesen der Fahrzeugdaten wurde festgestellt, das der LKW-Fahrer, als er erwischt wurde, den Tempomaten aktiviert hatte.
Folge: Vorsatz = deutlich erhöhtes Strafmaß.
Und bei modernen Fahrzeugen lässt sich auch die gefahrene Route und das Geschwindigkeitsprofil auslesen.
Das könnte dann so aussehene:
"Allgemeine Verkehrskontrolle" -> Polizei liest das Fahrzeug vor Ort aus und stellt fest, das man irgendwo zu schnell gefahren ist -> Strafe.
Bei LKW ist das normal, aber schon seit langem. Früher mit Anloger Scheibe die aber ausserordentlich genau war, haute digital. Neu ist das auslesen des Fahrzeugs bezüglich Tempomat. ;)
Wann, wo, wie schnell, das nicht, aber wann und wo!
Reicht doch schon, geht doch wirklich niemanden was an!
Weder die Rennleitung noch den Hersteller!
Somit ist gar nichts in Butter!
Und was Deine Geschwindigkeitsübertretungen angeht, Streckenradar wird kommen!
Ich wäre sogar dafür, aber DAS ist nun wieder ein ganz anderes Thema.
Sofern Du ein entsprechendes neueres Fahrzeug hast, kann der Hersteller das bereits aus den Telemetriedaten auslesen. Position im NAVI, Geschwindigkeit wird sowieso aufgezeichnet.
Können wir auch mal kurz darüber reden, dass der Händler einfach die Telefonnummer des Vorbesitzers ausgehändigt hat?
Kann bitte jemand die örtliche Datenschutzbehörde informieren? Das steht ja so wohl kaum im Vertrag! Und selbst wenn, wäre es nicht rechtens…
Warum aufpassen, nicht auf Phishing reinzufallen, wenn mein Autohändler einfach jedem x-beliebigen Menschen meine Telefonnummer gibt?
Zum Glück haben die meisten nichts zu verbergen. ;)
Ist viel zu kurz gesprungen, deine Überlegung. Wenn Du ein Fahrzeug verkaufst hast Du doch kaum eine Chance, dein Benutzerkonto auf "Reset" zu stellen. Der Gebrauchtwagenkäufer erwirbt ein latentes Risiko, auf diverse Funktionen nicht zugreifen zu können.
Ich habe mal die Link-Liste am Artikelende um Links auf die "Liste der Grausamkeiten", die ich im PKW-Umfeld hier im Blog thematisiert hatte, erweitert. Und hier noch zwei Vorfälle:
BMW-Händler in der DSGVO-Falle: Wenn Du ungewünschte Angebote von Dritten bekommst
TÜV Rheinland und Dekra: KFZ-Gutachten im Internet abrufbar
Buche einen Mietwagen und verbinde dein Smartphone mit dem Edutainment-System – die Daten bekommst Du kaum noch raus. Ich bin der Meinung, dass die Sache 99,9 % der Nutzer bei modernen Fahrzeugen längst entglitten ist. Und das Ganze wird auch noch gefeiert – wie deppert muss der Mensch noch werden, bis er was merkt?
Ich denke das war Ironie!
Auch wenn er ein Smilie dran setzt, man kann die Leute nicht oft genug auf die Implikationen hin weisen. Ich selbst verdränge es auch immer wieder und bin erschrocken, wenn mich dann hier im Blog suche und an den Treffern erkenne, was läuft.
Es war Ironie. Auch wenn viele Menschen oft mit dem Argument kommen, sie hätten nichts zu verbergen.
Mein Auto ist zum Glück alt und hat offline von mir selbst eingebautes Spielzeug.
Wenn ich irgendwann ein neues Auto haben muss, wird das als Erstes "unsmart" gemacht. Software und Hardwareseitig.
Und ja, ich hatte einmal einen Ersatzwagen der Werkstatt, voll verkabelt. War sehr unschön, was da alles zu sehen war. VW Polo, neuestes Modell.
Da war ein zwinkersmilie ;-)
Ich will 'nen C-Coupe zurück! Oder 'nen Manta 2.0 oder Monza 3.0! Das Einzige was da an der Antenne hing war 'nen Fuchsschwanz – und keine DATENSPUR !%$!…
Hier ein nordisches Zitat von Brösel: Weerner! EEckaat! Die Googles kommen!
Alles kein Problem in Deutschland, es gibt ja Gesetzte, dass das alles verboten ist. Aber ich glaube, außerhalb Deutschlands leben noch viel, viel mehr Menschen und es sind nicht alles Gute und Brave (Achtung: Annahme). Und diese Lieschen Müllers, von denen oben die Rede ist, die sind leider bei uns in den Innenstädten ausgestorben – hier gibt es leider massig kriminelle Energie und viele, viele Leute, die massig Zeit haben und nicht so dumm sind, wie sie aussehen…Danke für den Artikel !
Gut, das er darauf aufmerksam macht. Allerdings sind einige der entdeckten Daten nicht wirklich ein Riesending. Name(n) und Adresse(n) des/der Vorbesitzer(s) sowie Details der Fahrzeugdaten stehen in jedem Fahrzeugbrief ("Zulassungsbescheinigung Teil II"), den man nach Kauf eines Fahrzeugs erhält.
Ja, mit dem Unterschied das bei Fahrzeugübergabe diese Daten von einer Person an eine andere Version übergeht
Wenn ein simples VW-Datenabfrage-Skript für Skriptkiddies, Erpresser oder Scammer im Darknet steht sind ggf. hundertausende Datensätze an hunderte Kriminelle abgeflossen.
In der VW App kannst du das Fahrzeug auch öffnen. Und dann lag der teure Laptop da im Kofferraum…
Mit dem Unterschied, dass du (a) noch mehr als die paar Daten abgreifen kannst, dies (b) automatisiert erfolgen kann, (c) ohne den Brief in den Händen zu haben und (d) sogar ohne Kenntnis diverser VIN:
Wenn man sich den Aufbau der VIN anschaut (auf Wikipedia z. B.) wird das ganze noch interessanter: Der Block WVWZZZ1JZ3W steht für "VW, Golf IV bzw. Bora, Modelljahr 2003, gebaut in Wolfsburg" – alle Autos, die da dann vom Band liefen haben den gleichen Anfang der VIN. Danach kommen noch 6 Ziffern als individuelle Nummer des jeweiligen Autos. Idealerweise zufällig, im worst case sogar iterativ. Aber selbst bei zufällig hast du max. 1 Million IDs (wenn die API nicht so "clever" ist und ungültige VIN mit passendem Fehlercode ablehnt, so dass man die ignorieren kann), zusammen mit der PIN, die mit statistisch 5000 Versuchen geknackt ist brauchst du im schlimmsten Fall 5 Milliarden Versuche um alle Autos eines Typs aus einem Jahr aus einem Werk zu knacken – mit einem guten Botnetz mit zeitlicher Streuung durchaus machbar (defensiv mit 300 Requests pro Sekunde bist du in 6 Monaten durch). Und hast eine extrem gute Datengrundlage für personalisierte Angriffe wie "Lieber Herr xy, bei Ihrem Werkstattbesuch vom 24.12. haben wir den [teuersten Posten] falsch berechnet. Er kostet statt 123€ 234€. Wir bitten den Fehler zu entschuldigen und bitten Sie, die Differenz mit Nennung der originalen Rechnungsnummer R-123 auf unser neues Konto unter der DE… zu überweisen".
Ist schon eine andere Kategorie, als dass ich die Adresse aus den Papieren von dem Auto, das ich gekauft habe, ablese.
Zitat: Der Block WVWZZZ1JZ3W steht für "VW, Golf IV bzw. Bora, Modelljahr 2003, gebaut in Wolfsburg"
So einen hatte ich mal. Der hat garantiert noch keine App-Unterstützung.
Aber ja, ich verstehe, was du meinst. Die Lücke ist ja aber angeblich nun geschlossen. Hoffen wir es mal. Und hoffen wir mal, dass andere Hersteller nicht auch noch so nen Bockmist machen…
Die Fahrgestellnummer (FIN, VIN) entspricht seit 1980 bei VW der interntionalen Norm ISO 3779.
Die ist 17-stellig.
Stellen 1-3 = Welt-Herstellerschlüssel (WVW = VW PKW, WV1 = VW Nutzfahrzeuge, 9BW = VW Brasilien, etc.)
Stellen 4-6 = bei VW normalerweise ZZZ
Stellen 7-8 = bei VW Fahrzeugtyp (1J = VW Golf 4, 1H = Golf 3, 19 = Golf 2, 31 = Passat 3, 86 = Polo 2/3, etc.)
Stelle 9 = bei VW normalerweise Z
Stelle 10 = Modelljahr (Ziffern 0-9 und Buchstaben, läuft 30 Jahre, dann gehts von vorne los. Startpunkt war 1973 = 3, 1980 = A, 1981 = B, etc.)
Stelle 11 = Herstellerwerk (bei VW: W = Wolfsburg, E = Emden, Y = Pamplona, etc.)
Stelle 12-17 = laufende Nummer, jedes Modelljahr mit 000001 beginnend.
D.H., diese Nummer wird einfach hochgezählt, Lücken können systembedingt nicht vorkommen.
Auch bei anderen Herstellern ist das weitgehend gleich.
Daher kann man aus der Fahrgestellnummer immer das Modelljahr und den Herstellungsort herauslesen.
Moment mal, versteh ich das richtig, dass man bei VW-Fahrzeugen nur die für alle sichtbare VIN und einen leicht zu erratenen vierstelligen PIN braucht, um das Fahrzeug zu übernehmen? Ohne zusätzlich gesichertes Benutzerkonto, dem das Fahrzeug zugewiesen ist?
Schaut so aus – zumindest für die Implementation in Indien.
Software in KFZs ist doch super.
Ich fuhr letzten Sommer in meinem VW und wurde wegen beider offenen Front- Fenster (ich wollte die energiefressende Klimaanlage nicht einschalten) vom Display aufgefordert, zur Verbesserung des cw-Werts (erhöhter Spritverbrauch durch höheren Luftwiderstand) die Fenster zu schliessen. Bin froh, dass ich noch kein Webconnect System habe ….sonst wäre ich da evtl geflagt als
"var umweltsau(boolean) =1"
😂
Gechillt (in doppeltem Sinne) hinter einem LKW herfahren statt mit 130+ spart wahrscheinlich mehr Sprit als die 0,6 l/h, die mein Bordcomputer für die Klimaanlage anzeigt (im Stand).
Die Dröhnung brauche ich nicht mehr, 26 Jahre offene Fenster waren genug ;-)
Das hat laut winfuture nichts mit Gebrauchtfahrzeugen zu tun. Ich kann einfach auf einen beliebigen Parkplatz gehen und durch die Windschutzscheibe die FIN des Fahrzeugs abtippen und habe dann 10.000 Versuche um den viertselligen Pin durchzuprobieren. VW hat hier gleich mehrere Probleme:
1. Man kann beliebig oft Pins eingeben
2. Der registrierte Betreiber des Fahrzeugs wird nicht gefragt, wenn sich jemand anderes Zugriff verschaffen will, um den freizuschalten oder zu sperren
3. Beim Fahrzeugverkauf / Ummelden erfährt VW durchaus von dem Wechsel, in dem Fall müsste die Beziehung zwischen dem Fahrzeug und dem alten Besitzer eigentlich automatisch gelöscht werden.
Nicht nur die Beziehung zum alten Besitzer, sondern alle Daten, die durch den alten Besitzer ins Fahrzeug gelangten.
Beispielsweise Musik-Playlisten, gekoppelte Mobiltelefone, etc.
Alle Fahrzeugeinstellungen müsste auf die Defaultwerte des Auslieferungszustands zurückgesetzt werden.
Und was die von außen sichtbare Fahrgestellnummer angeht:
Das ist nur in den USA Vorschrift, aber nicht in Europa.
Bei einem Wagen, bei dem die Fahrgestellnummer von außen sichtbar ist, würde ich die immer einfach abdecken.
Als Käufer komme ich an die Fahrgestellnummer heran. Muss mal schauen, ob in meinem PKW nicht auch eine Nummer in der Windschutzscheibe ablesbar ist – sicher bin ich nicht.
************************************
3. Beim Fahrzeugverkauf / Ummelden erfährt VW durchaus von dem Wechsel, in dem Fall müsste die Beziehung zwischen dem Fahrzeug und dem alten Besitzer eigentlich automatisch gelöscht werden.
************************************
Nein! Den für das Fahrzeug gilt ja auch ein lückenloser Nachweis der Reparaturen Scheckheftgepflegt etc. auch TÜV/AU History ist im Schadensfall relevant.
Nur hat das halt nur für den Autobesitzer und die Werkstatt abrufbar zu sein!
Das eine schließt das andere nicht aus. Der Hersteller hat die komplette Fahrzeughistorie, soweit ich weiß auch wenn du zu einer freien Werkstatt gehst, welche sich zur Ersatzteilbestellung oder so mit VW connected.
Das wird auch spannend, wenn bestimmte Optionen per Mietmodell über die App freigeschaltet werden können.
Nett auch, wenn die Navidaten nicht aktuell sind.
Da fährt man dann z.B. auf einem Autobahnabschnitt, auf dem jahrelang die Geschwindigkeit auf 100 km/h beschränkt war und das so auch im Navi hinterlegt ist, wo aber dann die Geschwindigkeitsbeschränkung von den ehemals 100 km/h auf 130 km/h angehoben wurde.
Fährt man da schneller als 100 km/h, nervt einen das Navi oder das Auto ständig, das man zu schnell fahren würde.
mein VW-Navi hat nur die ersten 5 Jahre Updates bekommen, aktuell bietet der Laden nichts mehr neues fürs Media Connect zum Download an. :(
Bei unserem VW gilt: Kennzeichenerkennung hat Vorrang vor Navi-Daten.
Daher nervt er dann auch nicht. Und die Warnmeldung kann man einfach bei den Assistenzsystemen abschalten.
Schaltet sich aber leider bei jedem Auto-Start wieder ein. Aber das scheint gesetzliche Vorschrift zu sein.
Das ist aber nur von Interesse, wenn da Verkehrszeichen stehen. Wenn im Navi innerorts 70km/h oder 30 hm/h registriert sind, dann macht das Ding Theater, weil kein dagegen sprechendes Verkehrsschild aufgestellt ist.
Interessant ist es auch,wenn das Auto ein auf den LKW neben Dir aufgemaltes 80er Logo erkennt und den Tempomaten umstellt oder beim Überholen in die Bremse haut.
Ach Kinders, es geht alles, wenn man nur wirklich will und wenn es nicht mit der Sanften Methode über den Herkömmlichen Weg geht, dann geht es halt mit der Holzhammer Methode.
Selbstverständlich ist das Illegal, zumindest wenn du dich mit dem Fahrzeug in der EU befindest, wahrscheinlich auch noch außerhalb, weil die Software dir gar nicht gehört, du hast nämlich nur ein Fahrzeug gekauft, aber nicht die Lizenz für die Software, die jedoch deine Daten an den Hersteller fleißig sammelt und an ihn übermittelt, natürlich nur zur Sicherstellung das mit dem Gerät alles in den Normalen Parametern funktioniert.
Zumindest wird das so immer interpretiert, das Daten das neue Öl von Morgen sind ist dabei eine ganz andere Sache.
Ich habe mich damit vor einigen Jahren mal kurz beschäftigt, nicht wegen meinem Auto was nicht mal einen Board Computer besitzt und die einzige Hochwertige Elektronik im Radio Sitzt, sondern wegen einem Fahrzeug eines Freundes, nach dem es zu einigen Diebstälen seines Models gekommen ist. Die Technik ist sensibel und Relativ leicht angreifbar.
Deshalb Fahre ich auch lieber mit dem Dratesel.
Ich glaube, ich mache es wie der Typ aus Wiesbaden und kaufe mir einen Lanz-Bulldog für die Fahrt ins Theater, garantiert ohne Elektronik ;-)
Lieber den Marauder, keine Probleme mit anderen Autofahrern und auch wenn man zugeparkt wurde, findet man eine einfache Lösung. *Ironie*