WhatsApp: 3,5 Milliarden Konten durch Sicherheitslücke aufgedeckt

Forscher haben eine massive Schwachstelle in WhatsApp ausgenutzt und die Existenz von 3,5 Milliarden aktiven Konten weltweit nachgewiesen. Die Lücke in der Kontakterkennung ermöglichte es, massenhaft Telefonnummern zu überprüfen und Profildaten abzugreifen. Meta hat die Schwachstelle inzwischen geschlossen – doch der Vorfall wirft ein grelles Licht auf ein grundsätzliches Problem.

Forscher der Universität Wien und des SBA Research deckten die kritische Sicherheitslücke auf. Durch die Ausnutzung des „Contact Discovery”-Mechanismus gelang es ihnen, Milliarden von Konten zu verifizieren und teilweise öffentliche Profilinformationen abzurufen. Die Chatinhalte blieben zwar durch die Ende-zu-Ende-Verschlüsselung geschützt, doch die gesammelten Metadaten stellen ein erhebliches Risiko dar.

Brisant: Meta kannte das Problem bereits seit 2017, als ein niederländischer Forscher auf die identische Schwachstelle hinwies. Damals ergriff der Konzern keine ausreichenden Maßnahmen.

Komfortfunktion wird zur Schwachstelle

Die Lücke lag ausgerechnet in einer Funktion, die WhatsApp benutzerfreundlich machen soll. Wenn Nutzer einen neuen Kontakt speichern, gleicht die App die Nummer automatisch mit den WhatsApp-Servern ab. So erkennt man sofort, ob die Person über den Messenger erreichbar ist.

Viele Android-Nutzer unterschätzen Sicherheitslücken wie die beschriebene WhatsApp-Kontakterkennung. Metadaten und öffentlich einsehbare Profilinformationen lassen sich oft mit einfachen Mitteln besser schützen. Das kostenlose Sicherheitspaket erklärt die 5 wichtigsten Schutzmaßnahmen – von App-Berechtigungen über automatische Updates bis zu den richtigen Privatsphäre-Einstellungen in Messaging-Apps – mit klaren Schritt‑für‑Schritt-Anleitungen, die auch Einsteiger sofort umsetzen können. Gratis-Sicherheitspaket für Android herunterladen

Das Problem: Es fehlte eine wirksame Ratenbegrenzung. Die Wiener Forscher um Gabriel Gegenhuber konnten den Prozess automatisieren und massenhaft Telefonnummern testen. Mit über 100 Millionen Abfragen pro Stunde erstellten sie systematisch eine globale Karte aktiver WhatsApp-Konten. Die schiere Geschwindigkeit machte es möglich, innerhalb kurzer Zeit Milliarden potenzieller Nummern zu überprüfen.

Was genau wurde abgegriffen?

Die Forscher bestätigten 3,5 Milliarden aktive Konten in 245 Ländern. Die Hauptinformation: Welche Telefonnummer ist mit einem WhatsApp-Konto verknüpft? Für Betrüger und Spammer bereits Gold wert.

Doch damit nicht genug. Je nach Privatsphäre-Einstellungen der Nutzer konnten weitere Daten gesammelt werden:

• 57 % der Konten: Profilbild öffentlich einsehbar
• 29 % der Konten: Profiltext (Info-Status) zugänglich
• Rückschlüsse auf verwendete Betriebssysteme möglich

Die Chat-Inhalte selbst blieben durch die Verschlüsselung geschützt. Doch die Metadaten – wer wann mit wem kommuniziert – sind oft aussagekräftiger, als viele denken.

Meta reagiert – aber erst auf Druck

Die Forscher informierten Meta bereits im April über ihre Entdeckung. Bis Oktober dauerte es, bis der Konzern die Lücke durch strengere Ratenbegrenzungen schloss. In einer Stellungnahme bagatellisierte Meta die Angelegenheit und bezeichnete die offengelegten Informationen als „grundlegende öffentlich verfügbare Informationen”. Beweise für eine böswillige Ausnutzung habe man nicht gefunden.

Kann das beruhigen? Wohl kaum. Die Studie enthüllte zusätzlich, dass fast die Hälfte der Telefonnummern aus dem Facebook-Datenleck von 2021 immer noch mit aktiven WhatsApp-Konten verknüpft sind. Die Betroffenen bleiben einem erhöhten Risiko ausgesetzt.

Aljosha Judmayer von der Universität Wien bringt es auf den Punkt: „Datenschutzrisiken entstehen auch dann, wenn Metadaten massenhaft gesammelt und analysiert werden.” Die Fähigkeit, Milliarden von Konten zu kartieren, eröffnet Phishing-Betrügern, Spammern und Social-Engineering-Angreifern Tür und Tor.

Ein altes Problem kehrt zurück

Der Vorfall ist kein Einzelfall. Bereits 2017 wies ein niederländischer Forscher auf die exakt gleiche Angriffstechnik hin – die sogenannte „User Enumeration”. Meta unternahm damals jedoch nichts. Acht Jahre später nutzen Forscher dieselbe Methode erneut erfolgreich aus.

Was bedeutet das für Nutzer?

Wer WhatsApp nutzt, sollte seine Privatsphäre-Einstellungen überprüfen. Die wichtigsten Maßnahmen:

• Profilbild-Sichtbarkeit auf „Meine Kontakte” beschränken
• Info-Status nur für Kontakte freigeben
• Zuletzt-online-Status verbergen

Diese Einstellungen minimieren die Exposition persönlicher Daten, falls ähnliche Angriffe in Zukunft möglich werden.

Die vollständige Studie wird 2026 beim renommierten Network and Distributed System Security (NDSS) Symposium vorgestellt. Sie wird voraussichtlich weitere technische Details offenlegen und die Debatte über Messaging-Sicherheit neu entfachen.

Die zentrale Frage bleibt: Wie lässt sich Benutzerfreundlichkeit mit Sicherheit vereinbaren? Die automatische Kontakterkennung ist praktisch – aber sie schafft Angriffsvektoren, wenn sie nicht rigoros abgesichert wird. Die Branche muss die Architektur solcher Systeme grundlegend überdenken. Denn eines ist klar: Metadaten sind längst keine harmlosen Nebensächlichkeiten mehr.

PS: Die Studie macht deutlich, wie schnell Telefonnummern und Profilinfos massenhaft ermittelt werden können. Wenn Sie WhatsApp auf einem Android-Handy nutzen, schließen fünf einfache Maßnahmen viele dieser Angriffsvektoren. Der Gratis-Guide führt Sie praxisnah durch wichtige Einstellungen: Profilbild- und Status-Sichtbarkeit, App-Berechtigungen, sichere Backups und Update-Checks – mit klaren Schritten, die Sie sofort umsetzen können. Jetzt Android-Schutzpaket gratis anfordern