by BlackRabbitZSeit Mittwoch erreichen Drittanbieter-Apps wie Home Assistant die Volkswagen-API nicht mehr. Ob Bug oder Absicht ist unklar – doch die Spur deutet auf eine bewusste Änderung. Bezahldienste wie Tronity funktionieren weiter.
Was passiert ist
Seit dem 27. Mai melden Dutzende Nutzer auf GitHub und im Tweakers-Forum, dass sie ihre Volkswagen-Fahrzeuge nicht mehr über Home Assistant auslesen oder steuern können. Sensoren liefern keine Daten mehr, Befehle gehen ins Leere. Bestehende Sitzungen sterben, sobald das aktuelle Token abläuft – neue Logins schlägt VW systematisch ab.
Entscheidend: Die offizielle VW-App und der Browser-Login über vwid.vwgroup.io funktionieren weiterhin einwandfrei. Das Problem trifft ausschließlich Drittanbieter-Integrationen. Genau das macht einen reinen Zufall unwahrscheinlich.
Die technische Spur: OAuth-Redirect blockiert
Anders als beim ursprünglichen Bericht lässt sich die Ursache inzwischen ziemlich genau eingrenzen. In den Fehlerprotokollen taucht eine eindeutige Meldung auf: Eine Weiterleitung von identity.vwgroup.io auf eine „blockierte Adresse“ wird nicht mehr zugelassen. VW hat also offenbar den OAuth-Flow angepasst – konkret die erlaubten Redirect-Ziele beim Authentifizierungsprozess eingeschränkt.
Das ist relevant, weil es kein klassischer Serverausfall ist, sondern eine gezielte Konfigurationsänderung an der Login-Logik. Ein Nutzer hat in einem Pull Request bereits ein angepasstes Authentifizierungsverfahren vorgeschlagen, mit dem der Login wieder klappen soll. Bestätigt ist die Lösung allerdings noch nicht flächendeckend.
Bug oder Absicht? Drei Indizien
Offiziell hat sich VW nicht geäußert. Mehrere Hinweise sprechen aber gegen ein simples Versehen:
- Selektivität. App und Web-Login laufen, nur Drittanbieter sind betroffen. Ein allgemeiner API-Fehler sähe anders aus.
- Bezahldienste funktionieren weiter. Anbieter wie Tronity, die für den API-Zugang an Hersteller zahlen, erreichen die VW-Schnittstelle nach wie vor. Das nährt den Verdacht, dass VW die bislang kostenlose API monetarisieren will.
- Bekanntes Muster. Hersteller haben offene APIs in der Vergangenheit wiederholt geschlossen – etwa Somfy, Bose, Panasonic und TP-Link.
Ein technischer Patzer beim API-Update bleibt zwar möglich. Die Kombination aus selektiver Sperre und funktionierenden Bezahl-Integrationen passt aber besser zu einer bewussten Entscheidung.
Eine API, die der Hersteller jederzeit zudrehen kann
Schon vor der Sperre war die VW-API kein Komfort-Erlebnis: Sie ist auf 480 Aufrufe pro Tag limitiert – rund ein Abruf alle drei Minuten, den sich Integration und offizielle App teilen müssen. Die Abhängigkeit von einer Cloud-Schnittstelle, die der Hersteller jederzeit drosseln kann, ist die eigentliche Schwachstelle.
Für Betroffene gibt es zwei realistische Wege:
- Abwarten. Nach öffentlichem Druck haben Hersteller wie Haier und Daikin ähnliche Entscheidungen schon zurückgenommen. Auch der erwähnte OAuth-Fix könnte das Problem kurzfristig umgehen – bis VW gegebenenfalls nachzieht.
- Hardware-Lösung. In den Issue-Threads wird das herstellerunabhängige OVMS (Open Vehicle Management System) empfohlen. Es greift Daten direkt am Fahrzeug ab, statt über die VW-Cloud zu gehen – und ist damit immun gegen API-Politik.
Wer auf Hersteller-Clouds baut, baut auf Sand
Der Fall VW ist kein Einzelfall, sondern der Normalzustand: Solange die Daten über einen Cloud-Login des Herstellers laufen, entscheidet allein dieser, wie lange die Integration lebt. Lokale, fahrzeugnahe Lösungen sind langfristig die robustere Wahl – auch wenn sie mehr Aufwand bedeuten.
Der Beitrag Volkswagen kappt API-Zugang: Home Assistant verliert Autodaten erschien zuerst auf Hardware News.
Quelle: Volkswagen kappt API-Zugang: Home Assistant verliert Autodaten