Warnung: Wie der WhatsApp-Bug 3.5 Milliarden Konten gefährdet

IT-Sicherheitsforscher der Universität Wien haben eine gravierende Schwachstelle in WhatsApp aufgedeckt: Der Kontaktfindungsmechanismus ließ sich ausnutzen, um mehr als 3,5 Milliarden aktive Nutzerkonten weltweit zu erfassen. Meta hat die Lücke inzwischen geschlossen – doch die Studienergebnisse werfen Fragen zur Sicherheit zentralisierter Messaging-Dienste auf.

Über 100 Millionen Abfragen pro Stunde möglich

Wissenschaftler der Universität Wien und des Forschungszentrums SBA Research identifizierten eine kritische Schwachstelle im Kontaktfindungssystem von WhatsApp. Die normalerweise für den Abgleich des Adressbuchs vorgesehene Funktion ließ sich missbrauchen, um massenhaft Telefonnummern zu validieren.

Das erschreckende Ausmaß: Die Forscher konnten über die WhatsApp-Infrastruktur mehr als 100 Millionen Telefonnummern pro Stunde abfragen. Insgesamt bestätigten sie die Existenz von über 3,5 Milliarden aktiven Konten in 245 Ländern.

„Ein System sollte normalerweise nicht auf derart viele Anfragen aus einer einzigen Quelle reagieren“, erklärt Hauptautor Gabriel Gegenhuber. Der fehlende Schutzmechanismus ermöglichte praktisch unbegrenzte Serveranfragen und eine weltweite Kartierung der Nutzerdaten.

Welche Daten waren betroffen?

Die erfassten Informationen umfassen alle Datenelemente, die auch regulären Nutzern mit Kenntnis der Telefonnummer zugänglich sind:

Telefonnummern
Öffentliche Verschlüsselungsschlüssel
Zeitstempel
Profilbilder und Statustext (sofern öffentlich)

Aus diesen Metadaten konnten die Forscher zusätzliche Rückschlüsse ziehen: verwendetes Betriebssystem, Kontoalter und Anzahl verbundener Begleitgeräte. Die Nachrichteninhalte blieben durch die End-to-End-Verschlüsselung geschützt.

Brisante Erkenntnisse aus der Datenanalyse

Die Studie förderte mehrere bemerkenswerte Befunde zutage:

Nutzung in gesperrten Ländern: Millionen aktiver WhatsApp-Konten wurden in Staaten identifiziert, in denen der Dienst offiziell verboten ist – darunter China, Iran und Myanmar.

Globale Nutzungsstatistiken: Die Forscher ermittelten eine weltweite Verteilung von 81 Prozent Android- gegenüber 19 Prozent iOS-Nutzern sowie regionale Unterschiede im Datenschutzverhalten.

Kryptografische Anomalien: In Einzelfällen stellten die Wissenschaftler die Wiederverwendung von Verschlüsselungsschlüsseln über verschiedene Geräte hinweg fest – ein Hinweis auf inoffizielle Clients oder betrügerische Aktivitäten.

Langfristige Risiken: Fast die Hälfte der 500 Millionen Telefonnummern aus der Facebook-Datenpanne von 2021 war noch immer auf WhatsApp aktiv.

Meta hat Gegenmaßnahmen implementiert

Die Forscher meldeten ihre Erkenntnisse verantwortungsvoll über das Bug-Bounty-Programm an Meta. Der Konzern setzte umgehend Schutzmaßnahmen um, darunter strengere Ratenbegrenzungen und eingeschränkte Sichtbarkeit von Profilinformationen.

„Wir sind den Forschern für ihre verantwortungsvolle Partnerschaft dankbar“, erklärt Nitin Gupta, Vice President of Engineering bei WhatsApp. Meta bestätigt, dass keine Hinweise auf Missbrauch durch böswillige Akteure vorliegen und die Forscher alle gesammelten Daten sicher gelöscht haben.

Metadaten als unterschätztes Risiko

„End-to-End-Verschlüsselung schützt Nachrichteninhalte, aber nicht zwingend die zugehörigen Metadaten“, betont Co-Autor Aljosha Judmayer. Die Studie demonstriert eindrücklich, welche Datenschutzrisiken entstehen, wenn solche Informationen im großen Maßstab erfasst und analysiert werden.

Die Forschungsarbeit unterstreicht die Notwendigkeit kontinuierlicher, unabhängiger Sicherheitsprüfungen auch bei etablierten Plattformen. Die Ergebnisse werden 2026 auf dem renommierten Network and Distributed System Security (NDSS) Symposium präsentiert.

Dritte Studie zur Messenger-Sicherheit

Die aktuelle Veröffentlichung „Hey there! You are using WhatsApp: Enumerating Three Billion Accounts for Security and Privacy“ ist bereits die dritte Arbeit des Wiener Forschungsteams zu Sicherheitslücken in Instant Messengern.

Anfang 2025 erhielten die Wissenschaftler den Best Paper Award bei RAID 2025 für ihre Analyse stiller Zustellungsbestätigungen. Eine weitere Studie auf der USENIX WOOT 2025 untersuchte Schwächen im kryptografischen Prekey-Mechanismus von WhatsApp.

Fazit: Die Studie mahnt, dass Sicherheit und Datenschutz keine einmaligen Errungenschaften sind, sondern kontinuierliche Anpassung erfordern. Die proaktive Zusammenarbeit zwischen Forschung und Industrie bleibt essenziell für den Schutz von Nutzerdaten.

Vorabdruck hier verfügbar.

Quelle: Universität Wien / SBA Research

Ähnliche Beiträge