Sicherheitslücke in WhatsApp entdeckt

 (univie.ac.at)
1 Punkte von GN⁺ 2025-11-22 | 1 Kommentare | Auf WhatsApp teilen
  • Forschende der Universität Wien und von SBA Research haben in WhatsApps Mechanismus zur Kontaktsuche eine groß angelegte Datenschutzlücke entdeckt, über die sich 3,5 Milliarden Konten aufzählen lassen
  • Das Forschungsteam zeigte, dass sich mehr als 100 Millionen Telefonnummern pro Stunde abfragen lassen, und Meta arbeitete mit den Forschenden zusammen, um das Problem zu beheben
  • Zu den erfassbaren Daten gehören Telefonnummern, öffentliche Schlüssel, Zeitstempel und öffentlich sichtbare Profilinformationen; daraus lassen sich Betriebssystem, Kontenalter und die Zahl verbundener Geräte ableiten
  • Die Analyse ergab, dass selbst in Ländern, in denen WhatsApp verboten ist (China, Iran, Myanmar usw.), Millionen aktive Konten existieren, und bestätigte eine globale Verteilung von 81 % Android und 19 % iOS
  • Die Studie zeigt, dass bereits die Analyse von Metadaten ein Risiko für Datenschutzverletzungen darstellt, und betont die Bedeutung kontinuierlicher und unabhängiger Sicherheitsforschung

Schwachstelle in der WhatsApp-Kontaktsuche entdeckt

  • Die Forschenden bestätigten, dass sich über WhatsApps Funktion zur Kontaktsuche (contact discovery), die andere Nutzer auf Basis des Adressbuchs findet, mehr als 100 Millionen Telefonnummern pro Stunde abfragen lassen
    • Dadurch konnten mehr als 3,5 Milliarden aktive Konten in 245 Ländern identifiziert werden
    • Dass eine einzelne Quelle so viele Anfragen verarbeiten konnte, gilt als Hinweis auf einen Konstruktionsfehler des Systems
  • Zugängliche Daten umfassen Telefonnummern, öffentliche Schlüssel, Zeitstempel, öffentliche Profilbilder und Statusinformationen; daraus lassen sich Art des Betriebssystems, Zeitpunkt der Kontoerstellung und Zahl der verbundenen Geräte ableiten

Zentrale Forschungsergebnisse

  • Selbst in Ländern, in denen WhatsApp offiziell verboten ist (China, Iran, Myanmar), existieren Millionen aktiver Konten
  • Die globale Geräteverteilung lag bei 81 % Android und 19 % iOS; außerdem zeigten sich Unterschiede beim regionalen Umgang mit Datenschutzeinstellungen (z. B. öffentliche Profilbilder oder Nutzung von Statusinformationen)
  • In einigen Fällen wurde Wiederverwendung kryptografischer Schlüssel festgestellt, was auf inoffizielle Clients oder betrügerische Nutzung hindeutet
  • Von den 500 Millionen Telefonnummern aus dem Facebook-Datenleck von 2021 war etwa die Hälfte weiterhin auf WhatsApp aktiv
    • Das bedeutet, dass geleakte Nummern weiterhin dem Risiko von Betrugsanrufen und anderen Folgeschäden ausgesetzt sind

Datenverarbeitung und Sicherheitsfolgen

  • Im Verlauf der Untersuchung wurde nicht auf Nachrichteninhalte zugegriffen, und alle erhobenen Daten wurden vor der Veröffentlichung gelöscht
  • WhatsApps Ende-zu-Ende-Verschlüsselung (end-to-end encryption) schützt die Nachrichteninhalte, Metadaten gehören jedoch nicht zum geschützten Bereich
  • Die Forschenden bestätigten, dass schon die großflächige Erhebung und Analyse von Metadaten zu Datenschutzverletzungen führen kann

Zusammenarbeit mit Meta und Gegenmaßnahmen

  • Die Studie wurde nach dem Prinzip der Responsible Disclosure (responsible disclosure) durchgeführt, und die Ergebnisse wurden sofort an Meta gemeldet
  • Meta führte anschließend Maßnahmen wie Request-Limiting (rate-limiting) und einen verstärkten Schutz beim Zugriff auf Profilinformationen ein
  • Meta bedankte sich für die Zusammenarbeit mit den Forschenden und räumte ein, dass die neue Enumeration-Technik die Grenzen der bisherigen Abwehr überschritten habe
    • Die Ergebnisse trugen auch zur Überprüfung der Wirksamkeit der eigenen Anti-Scraping-Systeme bei
    • Fälle böswilligen Missbrauchs wurden nicht festgestellt, und Nutzernachrichten blieben sicher geschützt

Forschungskontext und fortlaufende Arbeiten

  • Die vorliegende Arbeit ist die dritte Sicherheitsstudie zu Messengern der Universität Wien und von SBA Research und analysiert mögliche Datenschutzlecks in Design und Implementierung von WhatsApp und Signal
  • Frühere Studien:
    • “Careless Whisper” (RAID 2025): zeigte, dass sich über WhatsApps stille Zustellbestätigungen (silent delivery receipts) Nutzungs- und Aktivitätsmuster ableiten lassen
    • “Prekey Pogo” (USENIX WOOT 2025): analysierte Implementierungsschwächen in WhatsApps Prekey-Verteilungsmechanismus
  • Die aktuelle Studie “Hey there! You are using WhatsApp: Enumerating Three Billion Accounts for Security and Privacy” erweitert diese Forschungsreihe und belegt empirisch die Möglichkeit einer weltweiten Enumeration von Nutzern
    • Die Ergebnisse sollen auf der NDSS 2026 vorgestellt werden

Bedeutung der Studie

  • Die Forschenden weisen darauf hin, dass selbst ausgereifte Systeme Konstruktionsfehler aufweisen können, und betonen, dass Sicherheit und Privatsphäre fortlaufend neu bewertet werden müssen
  • Sie heben hervor, dass transparente Zusammenarbeit zwischen Wissenschaft und Industrie entscheidend für den Schutz von Nutzern und die Verhinderung von Missbrauch ist
  • Die Studie schafft eine Grundlage für das langfristige Verständnis der Weiterentwicklung von Messaging-Systemen und neuer Risikopunkte

Verwandte Beiträge

1 Kommentare

 
GN⁺ 2025-11-22
Hacker-News-Kommentare
  • Das Timing ist wirklich perfekt. Wir haben vor Kurzem ein RFC zur Methode des Kontaktabgleichs veröffentlicht. Diese Methode ist resistent gegen Enumeration-Angriffe, reduziert dafür aber die Auffindbarkeit. Wir sammeln gerade Feedback dazu — Contact Import RFC
    • Ich habe mich bei einem ähnlichen Problem auch mit Private Set Intersection beschäftigt (Wikipedia-Link). Das hängt mit Zero Knowledge Proofs zusammen und könnte Angriffe grundsätzlich verhindern, weil Telefonnummern nicht im Klartext geteilt werden müssen. Allerdings könnte dieser Ansatz übertrieben sein, und mit heutiger Technik könnte die Skalierbarkeit begrenzt sein
    • Das RFC behandelt Sicherheit, erwähnt aber nicht den Datenschutz. Am Ende ist es weiterhin eine Struktur, bei der man dem Server oder der Instanz vertrauen muss. Es wäre gut, statt echter Nummern Hashes zu verwenden, aber dann wäre keine Nummernverifikation mehr möglich, was Spoofing erschwert. Denkbar wäre auch, dass eine vertrauenswürdige dritte Partei wie die EFF oder Let’s Encrypt Nummern verifiziert und die App nur die Hashes erhält
    • Gut, dass das Thema gerade jetzt aufkommt. Meine App wird bald ebenfalls Kontaktsynchronisierung hinzufügen, deshalb denke ich über Sicherheit und Datenschutz nach. Ich frage mich, ob geplant ist, dieses RFC als Open Source zu veröffentlichen
  • Der im Artikel zitierte Teil ist interessant. Von den 500 Millionen Telefonnummern, die beim Facebook-Datenleck 2021 offengelegt wurden, sollen noch immer die Hälfte auf WhatsApp aktiv gewesen sein. Das zeigt, dass geleakte Nummern über Jahre hinweg Spam-Anrufen oder Betrug ausgesetzt sein können. Die „Halbwertszeit“ einer Telefonnummer scheint also etwa 4 bis 5 Jahre zu betragen
    • Es überrascht mich, dass Amerikaner Nummern, die sie als Kinder bekommen haben, noch im Erwachsenenalter behalten. Ich habe früher jedes Jahr meine Nummer gewechselt
  • Diese Schwachstelle beruhte auf einem Endpunkt, mit dem sich prüfen ließ, ob eine bestimmte Telefonnummer mit einem WhatsApp-Konto verknüpft ist. Man konnte fast jede Nummer abfragen, aber als große Schwachstelle wirkt das nicht
    • Ich frage mich allerdings, warum man die Existenz eines Kontos überhaupt per Telefonnummer prüfen können sollte. Bei E-Mail-Adressen gilt so etwas als Datenschutzverletzung — warum sollte das bei Telefonnummern anders sein?
    • In letzter Zeit bekomme ich viele Phishing-SMS mit Namen wie „WatApp“ oder „whtas app“. Solche Leaks scheinen die Angriffe effizienter zu machen. Die Nachrichten kommen von nummernlosen Absendern und sind daher schwer zu blockieren
    • Für Leute wie mich ist das tatsächlich eine praktische Funktion. Wenn ich im Internet die Nummer eines Klempners finde, gebe ich sie in WhatsApp ein: Gibt es ein Profil, schreibe ich direkt dort, sonst rufe ich an oder schicke eine SMS
  • Das war weniger ein großes Leak, sondern eher der Fall, dass Nutzer öffentliche Profile angelegt hatten und man sie über ihre Nummer finden konnte. Die Forscher haben lediglich zufällige Nummern abgefragt und öffentlich sichtbare Informationen gesammelt; es waren keine privaten Daten. Facebook hatte kein Rate Limiting eingerichtet, daher war das in großem Maßstab möglich, aber die Informationen waren ohnehin öffentlich. Wenn Nutzer sensible Informationen im öffentlichen Profil veröffentlichen, ist das letztlich ihre Entscheidung
  • Das ist eines der bedauerlichsten Dinge überhaupt. Die Menschheit hatte die Chance auf den beliebtesten privaten Messenger, aber 2014 haben 19 Milliarden Dollar Brian Acton geblendet. Was jetzt bei Signal geschieht, kann den Verkauf des Vertrauens von Milliarden Nutzern nicht rückgängig machen
    • Die EU hätte diesen Deal stoppen müssen. Dass ein Unternehmen ohne Erlösmodell 19 Milliarden Dollar wert sein soll, war absurd, und Facebook ging es um Nutzerdaten. Stattdessen hat man sich offenbar lieber mit Dingen wie der USB-C-Pflicht zufriedengegeben — ernüchternd
  • Das ist schlicht ein Problem der Telefonnummern-Enumeration. Kein Codefehler, sondern eine ausdrücklich vorhandene Funktion, daher ist es fraglich, ob man das überhaupt als „Sicherheitslücke“ bezeichnen sollte
    • Aber ein sensibler Endpunkt ohne jegliches Rate Limiting kann durchaus als Fehler gelten
    • Schon wenn man für eine einzelne Nummer feststellen kann, ob ein Konto existiert, ist das eine Datenschutzverletzung. Wenn es sich um einen fragwürdigen oder sensiblen Dienst handelt, ist es ein ernstes Problem, allein anhand der Nummer herauszufinden, ob jemand dort registriert ist. Gefährlich ist auch, dass sich diese Information automatisiert zum Profiling nutzen lässt
    • Dass Anfragen in einer Größenordnung von 100 Millionen pro Sekunde möglich gewesen sein sollen, ist wirklich völlig absurd
  • Heute Morgen habe ich plötzlich festgestellt, dass ich bei WhatsApp ausgeloggt wurde. Ich wollte mich wieder anmelden, bekam aber keine Verifizierungs-SMS. Zum Glück konnte ich den Wiederherstellungscode über „Anruf erhalten“ bekommen. Weil ich jedoch keine 2FA-PIN eingerichtet hatte, wurde die Wiederherstellung blockiert, und eine E-Mail-Wiederherstellung hatte ich ebenfalls nicht konfiguriert. Jetzt muss ich 7 Tage warten. Die Nummer gehört mir weiterhin, und trotzdem kann ich das Konto nicht wiederherstellen — das ist seltsam. Ich empfehle allen Nutzern dringend, 2FA und eine Wiederherstellungs-E-Mail einzurichten
    • Wenn man ein Konto allein über die Telefonnummer wiederherstellen könnte, wäre das im Gegenteil ein Sicherheitsrisiko. Wird die Nummer neu vergeben, könnte der neue Nutzer sonst die Chats und Kontakte des vorherigen Besitzers übernehmen
  • Das ähnelt der 2020 veröffentlichten Arbeit zur Kontaktsuche in WhatsApp, Telegram und Signal (Link). Letztlich verhindert nur serverseitiges Rate Limiting, dass der gesamte Raum möglicher Telefonnummern enumeriert wird. Ich frage mich, ob die Beschränkungen der einzelnen Messenger ausreichen
  • Ich habe früher einmal an solcher Forschung mitgewirkt. Die Liste der Mobilfunkvorwahlen nach Ländern war dabei sehr nützlich. Den erwähnten libphonegen-Link konnte ich allerdings nicht finden
  • Der Kern des Problems ist das Risiko zentralisierter Messaging-Dienste. Eigentlich ist Zentralisierung in jedem Bereich problematisch, aber Nutzer wollen weiterhin Bequemlichkeit und Integration. Das in einem verteilten System umzusetzen, ist wirklich schwierig
    • Ich frage mich, wie es gewesen wäre, wenn man wie bei E-Mail offen gestartet wäre. Hätte man in den 90ern statt „Wie ist deine E-Mail-Adresse?“ gefragt: „Wie ist dein öffentlicher Schlüssel?“, würden wir vielleicht heute in einer digitalen Utopie leben
    • SimpleX Chat scheint ein gutes Beispiel dafür zu sein, Sicherheit und Dezentralisierung recht gut zu verbinden
    • Ehrlich gesagt vertraue ich in Bezug auf technische Fähigkeiten Meta mehr als Regierungen. Digitale Regierungsprojekte scheitern oft, und selbst wenn man FAANG kritisiert, ist es schwer, bessere Ergebnisse zu liefern
    • Ich habe gerade den Matrix-Thread gelesen, der eben auf der HN-Startseite gelandet ist; die Diskussion ging in eine ähnliche Richtung