WhatsApp-Sicherheitslücke:
Daten von 3,5 Mrd. Nutzern abgreifbar

Sicherheitsforscher haben eine massive Schwachstelle in der Kontakt-Erkennung von WhatsApp identifiziert, durch die Daten von 3,5 Milliarden Nutzerkonten abrufbar waren. Neben Profilbildern waren auch kryptografische Schlüssel betroffen. Meta hat reagiert.

API-Lücke erlaubt massiven Datenabgriff

Während WhatsApp die Integration von Nachrichten aus anderen Messengern einführt und mehrere Konten auf einem Gerät erlauben will, klaut eine neue Android-Malware allerhand Daten. Zusätzlich wurde jetzt noch eine weitere Sicherheitslücke bei Metas Nachrichten-App offengelegt. So hat es eine fundamentale Schwachstelle im Mechanismus zur Kontakterkennung von WhatsApp Sicherheitsforschern ermöglicht, Informationen von nahezu der gesamten Nutzerbasis des Messengers abzugreifen.

Betroffen sind potenziell 3,5 Milliarden aktive Konten weltweit. Das Problem liegt in der fehlenden Begrenzung von Abfrage-Raten (Rate-Limiting) bei der sogenannten "Mobile Contact Discovery". Dieser Prozess dient eigentlich dazu, das Adressbuch eines Nutzers mit der WhatsApp-Datenbank abzugleichen, um vorhandene Kontakte anzuzeigen. Durch das Fehlen technischer Hürden war es jedoch möglich, Telefonnummern systematisch auf ihre Registrierung bei dem Dienst zu prüfen und verknüpfte Daten auszulesen.


Forscher der Universität Wien nutzten für ihre Analyse die Infrastruktur von WhatsApp gegen den Dienst selbst. Über eine manipulierte Schnittstelle sendeten sie automatisierte Anfragen an die Server des Unternehmens, um zu prüfen, ob willkürlich generierte Telefonnummern mit einem Konto verknüpft waren. Da WhatsApp keinerlei wirksame Drosselung für diese Abfragen implementiert hatte, konnten die Wissenschaftler in der Spitze bis zu 7000 Nummern pro Sekunde verifizieren.

Das Experiment lief über einen Zeitraum von Dezember 2024 bis April 2025, bevor die Ergebnisse an den Mutterkonzern Meta gemeldet wurden. Der Vorfall demonstriert erneut die Risiken, die entstehen, wenn Telefonnummern als primäre Benutzer-ID dienen, da der Nummernraum begrenzt und somit leicht durchsuchbar ist.

Anfällige Verschlüsselung

Wie aus der Studie der Universität Wien (via Cyberinsider) hervorgeht, beschränkten sich die abrufbaren Informationen nicht nur auf den reinen Aktivitätsstatus einer Nummer. Sofern Nutzer ihre Privatsphäre-Einstellungen nicht strikt limitiert hatten, ließen sich Profilbilder, Status-Texte und Business-Tags extrahieren.

Die Forscher konnten zudem die öffentlichen Schlüssel (Public Identity Keys) der Nutzer abrufen. Diese Schlüssel sind essenziell für den Aufbau einer sicheren Ende-zu-Ende-Verschlüsselung. In 2,9 Millionen Fällen wurden kryptografische Schlüssel sogar mehrfach verwendet. Das widerspricht eigentlich dem Prinzip der Einzigartigkeit und kann theoretisch die Integrität der Verschlüsselung untergraben. Einige Schlüssel bestanden zudem ausschließlich aus Nullen. Das deutet laut den Experten auf die Verwendung fehlerhafter oder modifizierter Drittanbieter-Clients hin, die das Protokoll nicht korrekt umsetzen und Nutzer so einem erhöhten Risiko aussetzen.

Reaktion von Meta und Bug-Fixes

Nach der Meldung über das Bug-Bounty-Programm im April 2025 implementierte Meta im Oktober strengere Limits für Abfragen, um dieses massenhafte "Scraping" künftig zu unterbinden. Nitin Gupta, VP of Engineering bei WhatsApp, betonte gegenüber Medienvertretern, dass keine privaten Nachrichteninhalte betroffen gewesen seien, da diese durch die Ende-zu-Ende-Verschlüsselung geschützt blieben. Meta klassifizierte die abgegriffenen Daten zudem als "öffentlich verfügbar", da die Sichtbarkeit auf den individuellen Einstellungen der Nutzer basierte.

Dennoch bleibt ein strukturelles Problem bestehen. Denn Telefonnummern bieten keine ausreichende Entropie (Zufälligkeit), um als sicheres Mittel für die Identifikation zu dienen. Solange Dienste wie WhatsApp primär auf dem Abgleich des Telefonbuchs basieren, bleiben Mechanismen wie Rate-Limiting die einzige Hürde gegen Datensammler.

Haltet ihr die Nutzung von Telefonnummern als eindeutige ID noch für zeitgemäß oder seht ihr hier die Plattformbetreiber in der Pflicht, Alternativen zu schaffen? Schreibt uns eure Meinung gerne in die Kommentare.

Download Signal Desktop - Crypto-Messenger für Windows
Zusammenfassung
  • Sicherheitslücke in WhatsApp ermöglichte Zugriff auf 3,5 Milliarden Konten
  • Forscher konnten 7000 Telefonnummern pro Sekunde auf Registrierung prüfen
  • Fehlende Abfrage-Begrenzung bei der Kontakterkennung war das Problem
  • Profilbilder, Status-Texte und kryptografische Schlüssel waren betroffen
  • Meta implementierte im Oktober 2025 strengere Limits für Abfragen
  • Telefonnummern als ID bieten nicht genug Schutz für sichere Nutzung

Siehe auch:
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
WhatsApp-SIM im Preisvergleich
Tipp einsenden
❤ WinFuture unterstützen
Sie wollen online einkaufen? Dann nutzen Sie bitte einen der folgenden Links, um WinFuture zu unterstützen: Vielen Dank!