Forscher haben eine Sicherheitslücke bei WhatsApp entdeckt, die Daten von 3,5 Milliarden Nutzern zugänglich machte. Meta hat bereits auf die Enthüllung reagiert. Informatiker der Universität Wien und dem Forschungsnetzwerk SBA Research haben eine massive Sicherheitslücke beim Messengerdienst WhatsApp aufgedeckt und dabei Zugriff auf die Daten von 3,5 Milliarden Nutzern erhalten. Die Forscher konnten nach eigenen Angaben ohne technische Hürden auf das gesamte Nutzerverzeichnis des Messengerdienstes zugreifen. Vollständiger Zugriff ohne Blockierung Das Forscherteam um Gabriel Gegenhuber nutzte für die Untersuchung eine manipulierte Schnittstelle zu WhatsApp. Dabei gelang es den Wissenschaftlern, über 100 Millionen Telefonnummern pro Stunde abzufragen. Üblicherweise sollten nicht so viele Anfragen in so kurzer Zeit und von einer Quelle beziehungsweise von einem Server beantwortet werden, erklärte Gegenhuber laut der Pressemitteilung der Universität Wien. "Wir konnten quasi unbegrenzte Anfragen an den Server stellen". Die Forscher machten nach eigener Darstellung keinen Versuch, ihre Aktivität zu verschleiern. Alle Anfragen gingen von derselben IP-Adresse aus, die eindeutig der Universität Wien zugeordnet werden konnte. Dennoch seien weder die IP-Adresse noch die genutzten Accounts von WhatsApp blockiert worden. Umfangreiche Metadaten erfasst Neben den Telefonnummern konnten die Wissenschaftler weitere Informationen abrufen: öffentliche Profilbilder, Statusmeldungen, Zeitstempel sowie öffentliche Schlüssel für die Ende-zu-Ende-Verschlüsselung. Aus den gesammelten Daten ließen sich zusätzliche Metadaten wie das genutzte Betriebssystem, das Alter des Kontos oder die Anzahl verbundener Geräte ableiten. Dubiose Anzeigen: Meta macht Milliarden mit Betrugswerbung Aktientipps in Chatgruppen: Finanzaufsicht warnt vor WhatsApp-Betrug Besonders problematisch sei laut den Forschern, dass rund 30 Prozent der Nutzer persönliche Details in ihr Profil eingetragen hätten. Die Analyse der Daten habe Rückschlüsse auf politische Einstellungen, religiöse Zugehörigkeit oder sexuelle Orientierung ermöglicht. Sogar E-Mail-Adressen von Regierungsbehörden oder militärischen Einrichtungen seien in manchen Fällen entdeckt worden. In Deutschland identifizierten die Forscher 74,6 Millionen aktive WhatsApp-Konten, was 88 Prozent der Bevölkerung entspricht. In Österreich waren es 7,9 Millionen Konten (86 Prozent) und in der Schweiz 8,4 Millionen (95 Prozent). Von den deutschen Nutzern hatten 51 Prozent ein öffentliches Profilbild eingestellt und 35 Prozent eine persönliche Statusmeldung hinterlegt. Kryptografische Schwachstellen entdeckt Bei der Analyse der verschlüsselten Kommunikation stießen die Informatiker auf weitere Probleme. Sie fanden 2,3 Millionen öffentliche Schlüssel, die auf mehreren Geräten wiederverwendet wurden. Die Wiederverwendung von Schlüsseln ermögliche es theoretisch, WhatsApp-Inhalte zu entschlüsseln oder fremde Identitäten zu übernehmen, heißt es in der Studie. Das Team verglich seine Daten auch mit dem Facebook-Scraping-Vorfall von 2021, bei dem 500 Millionen Telefonnummern abgegriffen worden waren. Die Analyse ergab, dass 58 Prozent dieser Nummern – also 281 Millionen – nach wie vor aktiv seien. Dies unterstreiche nach Aussage der Forscher die lang anhaltenden Folgen von Datenlecks. Metas Reaktion und Empfehlungen für Nutzer WhatsApp-Betreiber Meta wurde von den Forschern ab September 2024 mehrfach über die Sicherheitslücke informiert. In einer Stellungnahme bedankte sich Meta bei den Wissenschaftlern "für ihre verantwortungsvolle Partnerschaft" und betonte, dass die im Rahmen der Studie gesammelten Daten sicher gelöscht worden seien und es keine Hinweise auf Missbrauch durch böswillige Akteure gebe. Seit Oktober 2025 hat WhatsApp nach Angaben der Forscher verschiedene Schutzmaßnahmen umgesetzt. Dazu gehören Beschränkungen bei der Abfrage von Profilbildern und Infofeldern sowie ein lebenslanges Limit für die maximale Anzahl von Abfragen pro WhatsApp-Konto. Die Wissenschaftler raten Nutzern, ihre Privatsphäre-Einstellungen zu überprüfen und restriktive Vorgaben für ihr Profilbild und ihre Statusmeldungen zu wählen. Als weitere Maßnahme empfehlen sie WhatsApp die Verschlüsselung von Profilbildern und Statusmeldungen, sodass nur bestätigte Kontakte diese einsehen können. Der Messengerdienst Signal setze diesen Ansatz bereits seit Jahren um.
1 woche vor
