Forschende der Universität Wien haben eine gravierende Schwachstelle in WhatsApp entdeckt. Die Lücke ermöglichte es, sensible Kontoinformationen von Milliarden Nutzer:innen automatisiert zu erfassen.
Massensammlung von WhatsApp-Daten im Test
Im Rahmen ihrer Untersuchung konnten die Forschenden mithilfe automatisierter Werkzeuge über 60 Milliarden mögliche Mobilfunknummern generieren und mit den WhatsApp-Servern abgleichen. Das Team nutzte dafür modifizierte Open-Source-Clients, die direkt mit der WhatsApp-Infrastruktur kommunizierten – also nicht über die offiziellen Anwendungen. Durch unzureichende Zugriffsbeschränkungen gelang es, tausende Nummern pro Sekunde zu prüfen und mit Profildaten abzugleichen. Erfasst wurden unter anderem öffentlich sichtbare Telefonnummern, Profilbilder, Statusmeldungen, geschäftliche Tags sowie Informationen zu Ende-zu-Ende-Verschlüsselungsschlüsseln.
Die gesammelten Daten betrafen Nutzer:innen aus weltweit mehr als 200 Ländern – darunter auch Regionen, in denen WhatsApp offiziell verboten ist, etwa China, Iran, Myanmar und Nordkorea. Neben personenbezogenen Daten beinhaltete das Datenset auch Metadaten wie Zeitstempel, Geräteinformationen und öffentlich zugängliche Verschlüsselungsschlüssel. In Millionen Fällen wurden die eigentlich eindeutigen Schlüssel mehrfach vergeben oder bestanden lediglich aus der Ziffer Null. Die Forschenden sehen darin Hinweise auf fehlerhafte Implementierungen durch Drittanbieter-Clients.
Reaktionen und Maßnahmen von WhatsApp
Nitin Gupta, Vizepräsident für Technik bei WhatsApp, bedankte sich in einer Stellungnahme bei den Wissenschafter:innen für die Zusammenarbeit im Rahmen des Bug-Bounty-Programms. Laut Gupta sei das Team bereits daran gewesen, Schutzmechanismen gegen solche automatisierten Abfragen zu entwickeln. Die Untersuchung habe geholfen, die Wirksamkeit dieser Abwehrmaßnahmen zu überprüfen und Schwächen zu beheben. WhatsApp hat nach eigenen Angaben im Oktober 2025 restriktivere Zugriffsbeschränkungen eingeführt und später auch eine separate Schwachstelle auf Apple-Geräten, durch die unbefugtes Abrufen von Mediendateien möglich war, geschlossen. Nach aktuellem Stand gebe es keine Hinweise darauf, dass Unbefugte die identifizierte Schwachstelle missbraucht haben. Die untersuchten Nachrichteninhalte blieben laut Meta dank der standardmäßigen Ende-zu-Ende-Verschlüsselung stets privat. Gleichwohl kritisieren die Forschenden insbesondere die mehrfache Nutzung öffentlicher Schlüssel, da diese das Vertrauensmodell der Verschlüsselung beeinträchtigen könne.
Mit rund 3,5 Milliarden aktiven Konten zählt WhatsApp weiterhin zu den wichtigsten Kommunikationsplattformen weltweit.
So könnt Ihr Euer Konto schützen
Um das Risiko unbefugter Zugriffe zu minimieren, empfiehlt es sich, die Privatsphäre-Einstellungen von WhatsApp regelmäßig zu überprüfen. Besonders relevant ist die Sichtbarkeit von Profilbildern und Statusinformationen: Diese sollten idealerweise nur für bekannte Kontakte freigegeben werden. Aktiviert unbedingt die Zwei-Faktor-Authentifizierung und achtet darauf, Drittanbieter-Apps oder -Clients konsequent zu vermeiden. Bleibt auch künftig aufmerksam gegenüber verdächtigen Aktivitäten auf Eurem Konto oder auffälligen Login-Versuchen.
