In Spanien wird ab dem 1. Januar 2026 eine vernetzte Warnleuchte namens »V16« Pflicht. Sie soll das klassische Warndreieck als sicherere Alternative ablösen.
Jetzt hat ein Sicherheitsforscher eines der meistverkauften Modelle analysiert und zeigt: Das Gerät ist so unsicher, dass man es in weniger als einer Minute hacken und vollständig übernehmen kann.
Darum ist das wichtig:
- Auf den ersten Blick wirkt es wie ein rein spanisches Problem, doch das ist es nicht ausschließlich.
- Die V16-Leuchte zeigt, wie schlecht abgesicherte IoT-Geräte aussehen können.
- Erschwerend hinzu kommt in diesem Fall, dass sie von den örtlichen Behörden verpflichtend gemacht wird und sie gleichzeitig direkten Einfluss auf Verkehrssicherheit und Infrastruktur hat.
Deutschland diskutiert indes seit Jahren über bessere digitale Notrufsysteme, vernetzte Fahrzeuge und smarte Verkehrsplattformen.
57:51
E-Autos im Alltag: Überwiegen die Vorteile oder sind die Hürden zu groß?
Was ist die V16 überhaupt?
In Spanien ersetzt die sogenannte V16-Warnleuchte das Warndreieck vollständig. Das kleine, magnetische Blinklicht kommt aufs Autodach und sendet im Notfall:
- ein starkes gelbes Blinksignal
- per Mobilfunk (NB-IoT) die exakte GPS-Position an die spanische Verkehrsbehörde (DGT)
Damit soll niemand mehr über die Autobahn laufen müssen, um ein Dreieck aufzustellen.
Eine dieser Leuchten wurde nun vom Cyber-Sicherheitsforscher Luis Miranda Acebedounter die Lupe genommen. Es handelt sich um das weit verbreitete Modell Help Flash IoT, verkauft unter anderem über Vodafone. Der Mobilfunkanbieter alleine gibt an, dass 250.000 Stück davon im Umlauf sind.
»Das ist ein Sieb«: Sicherheitsexperte enthüllt massive Sicherheitslücken
Der Sicherheitsforscher fand eine lange Liste gravierender Schwachstellen, die man eher von Billig-IoT-Spielzeug erwartet, nicht von einem staatlich verpflichtenden Sicherheitsprodukt.
1. Unverschlüsselte Standortdaten
Die V16 sendet ihre GPS-Koordinaten, IMEI und Netzparameter im Klartext. Jeder, der das Funksignal abfängt, kann:
- den Standort des Fahrzeugs verfolgen
- die Identität des Geräts auslesen
- Netzwerkdaten einsehen
Das gilt sogar für Fake-Mobilfunkmasten, die man laut Acebedo mit frei erhältlicher Hardware simulieren kann.
2. Keine echte Prüfung der Gegenstelle
Das Gerät überprüft nicht, ob es wirklich mit dem richtigen Server kommuniziert. Dadurch können Angreifer den Datenverkehr manipulieren oder komplett blockieren.
3. OTA-Updates mit katastrophalen Lücken
Der Forscher fand beim Update-System besonders gravierende Probleme:
- Ein Wartungs-WLAN lässt sich durch 8 Sekunden Knopfdruck aktivieren.
- SSID und Passwort sind bei jedem Gerät identisch und fest in der Firmware hinterlegt.
- Firmware wird über reines HTTP geladen, nicht über HTTPS.
- Keine Signaturprüfung: Die Warnleuchte akzeptiert jede beliebige Datei als »Firmware«.
Jeder, der oder die in Reichweite dieses WLANs ist, kann das Gerät unter Umständen neu programmieren.
4. Offene Debug-Schnittstelle
Über einen frei zugänglichen Debug-Port konnten Zugangsdaten für den privaten Vodafone-APN ausgelesen werden. Damit lässt sich sogar auf das eigentlich abgeschottete Netzwerk zugreifen, in dem alle V16-Leuchten hängen.
Wie schlimm ist das wirklich?
Der Forscher konnte nach eigenen Angaben:
- eine V16-Leuchte in unter 60 Sekunden hacken
- falsche Standortdaten senden
- massenhaft Fehlalarme erzeugen
- Geräte unbrauchbar machen
- ganze Regionen mit Fake-Unfällen »fluten«
All das mit günstiger Hardware und kostenloser Software. Damit wird nicht nur die einzelne Leuchte kompromittiert. Theoretisch könnte auch die dahinterstehende Infrastruktur massiv gestört werden.
Hersteller und Vodafone wiegeln ab
Der Hersteller Netun bestätigt einige Punkte, stuft das Risiko aber als gering ein (Xataka hat berichtet). Die wichtigen Aussagen:
- Ja, Standortdaten können offengelegt werden, aber keine personenbezogenen Daten.
- Ja, Updates waren unsicher, aber die Funktion sei inzwischen per Firmware deaktiviert.
- Massenangriffe seien unwahrscheinlich, weil die Plattform die Anzahl der sendbaren Nachrichten pro Gerät limitiert.
Vodafone betont gleichzeitig, dass die Geräte zertifiziert sind, über ein privates NB-IoT-Netz laufen, zusätzliche Sicherheitsmaßnahmen existieren und die Produkte alle gesetzlichen Vorgaben erfüllen.
Die zuständige Verkehrsbehörde DGT hat auf die Analyse noch nicht reagiert. Da die V16 ab 2026 Pflicht wird, ist eine offizielle Stellungnahme wahrscheinlich und dringend nötig.
Was bedeutet das langfristig? Der Fall zeigt, wie wichtig es ist, dass staatlich vorgeschriebene IoT-Hardware modern gesichert ist. Spanien wird die Geräte nicht so einfach zurückrufen können, da Millionen Autofahrer ab 2026 verpflichtet sind, ein solches Gerät zu besitzen.
Je nachdem, wie die Behörden reagieren, könnte es auf verpflichtende Firmware-Updates, neue Sicherheitsrichtlinien oder sogar ein Zulassungsverbot bestimmter Modelle hinauslaufen.
Nur angemeldete Benutzer können kommentieren und bewerten.
Dein Kommentar wurde nicht gespeichert. Dies kann folgende Ursachen haben:
1. Der Kommentar ist länger als 4000 Zeichen.
2. Du hast versucht, einen Kommentar innerhalb der 10-Sekunden-Schreibsperre zu senden.
3. Dein Kommentar wurde als Spam identifiziert. Bitte beachte unsere Richtlinien zum Erstellen von Kommentaren.
4. Du verfügst nicht über die nötigen Schreibrechte bzw. wurdest gebannt.
Bei Fragen oder Problemen nutze bitte das Kontakt-Formular.
Nur angemeldete Benutzer können kommentieren und bewerten.
Nur angemeldete Plus-Mitglieder können Plus-Inhalte kommentieren und bewerten.