WhatsApp: Katastrophale Sicherheitslücke offenbart 3,5 Milliarden Telefonnummern

Eine dramatische Sicherheitspanne bei WhatsApp hat die Telefonnummern von praktisch jedem Nutzer weltweit preisgegeben – geschätzte 3,5 Milliarden Datensätze. Die Schwachstelle in der Kontaktsuche-Funktion ermöglichte es Sicherheitsforschern, die gesamte Nutzerdatenbank mitsamt Profilbildern und Namen abzugreifen. Und als wäre das nicht genug: Parallel dazu kämpft der Messenger-Gigant mit einer zweiten, hochgefährlichen Lücke, die bereits aktiv von Hackern ausgenutzt wird.

Das Pikante daran? Die Grundlage für dieses Desaster wurde bereits 2017 gemeldet – vor über acht Jahren. Doch Meta, der Mutterkonzern von WhatsApp, ließ die simple Schutzmaßnahme jahrelang unbearbeitet liegen.

Ein Datenleck von historischem Ausmaß

Österreichische Forscher der Universität Wien deckten auf, wie erschreckend einfach sich WhatsApps globale Nutzerbasis auslesen lässt. Das Problem: WhatsApp setzte keine Grenzen für die Anzahl der Telefonnummernabfragen. Die Wissenschaftler konnten systematisch alle denkbaren Nummernkombinationen durchprobieren und so herausfinden, welche bei WhatsApp registriert sind.

Die Geschwindigkeit war alarmierend: Binnen 30 Minuten hatten die Forscher die ersten 30 Millionen US-Telefonnummern erfasst. Hochgerechnet auf die weltweite Nutzerbasis ergibt sich ein vollständiges Verzeichnis praktisch aller WhatsApp-Nutzer auf dem Planeten.

Aljosha Judmayer, einer der Forscher, bringt es auf den Punkt: „Nach unserem Wissen handelt es sich um die umfangreichste Offenlegung von Telefonnummern und Nutzerdaten, die jemals dokumentiert wurde.” Die Wissenschaftler löschten ihre Datenbank verantwortungsvoll. Doch die Warnung sitzt tief: Hätten kriminelle Akteure dieselbe Methode angewandt, wäre dies „das größte Datenleck der Geschichte” geworden.

Passend zum Thema Smartphone-Sicherheit: Wenn 3,5 Milliarden Telefonnummern offengelegt werden und Zero-Click-Exploits Geräte kompromittieren können, sollte Ihr Android-Handy sofort besser geschützt werden. Das kostenlose Sicherheitspaket erklärt die 5 wichtigsten Schutzmaßnahmen Schritt für Schritt – von Update-Checks und App‑Berechtigungen über sichere Backup‑Routinen bis zu einfachen Praktiken gegen Phishing. Inklusive Checklisten und klaren Anleitungen, ideal für WhatsApp‑Nutzer. Jetzt kostenloses Android-Sicherheitspaket sichern

Acht Jahre Ignoranz trotz früher Warnung

Besonders brisant: Die Kernschwachstelle wurde Meta bereits 2017 von einem anderen Sicherheitsforscher gemeldet. Die notwendige Schutzmaßnahme – eine Beschränkung der Abfragerate bei der Kontaktsuche – wäre „unglaublich simpel” gewesen. Doch Meta implementierte sie erst, nachdem die Wiener Forscher ihre Entdeckung meldeten. Selbst dann dauerte es weitere sechs Monate bis zur Umsetzung.

WhatsApp behauptet, bereits an einer Lösung gearbeitet zu haben und keine Hinweise auf kriminelle Ausnutzung dieser speziellen Lücke gefunden zu haben. Doch das dürfte viele Nutzer kaum beruhigen angesichts der jahrelangen Untätigkeit.

„Zero-Click”-Angriff: Gehackt ohne einen Klick

Zeitgleich sorgt eine zweite, noch gefährlichere Schwachstelle für Schlagzeilen. Die unter CVE-2025-55177 geführte Lücke wurde bereits aktiv in gezielten Angriffen eingesetzt – und das Perfide daran: Die Opfer mussten absolut nichts tun.

Diese „Zero-Click”-Schwachstelle steckte in WhatsApps Synchronisationsfunktion für verknüpfte Geräte. Angreifer konnten speziell präparierte Nachrichten versenden, die die App dazu brachten, Inhalte von beliebigen URLs zu verarbeiten. Das Resultat: vollständige Gerätekontrolle, Zugriff auf alle Nachrichten, Anrufe und selbst verschlüsselte Chats – ohne dass das Opfer je etwas bemerkte.

Die US-Cybersicherheitsbehörde CISA stufte die Bedrohung als so gravierend ein, dass sie die Lücke Anfang September 2025 in ihren Katalog bekannter ausgenutzer Schwachstellen aufnahm. Eine dringende Warnung an Behörden und Nutzer folgte umgehend.

Gezielte Angriffe auf hochrangige Ziele

Laut Meta wurde diese Schwachstelle möglicherweise zusammen mit einem Betriebssystem-Bug auf Apple-Plattformen (CVE-2025-43300) ausgenutzt, um bestimmte Personen anzugreifen. WhatsApp verschickte individuelle Warnungen an Nutzer, die vermutlich Ziel dieser „hochentwickelten Attacken” waren.

Für Sicherheitsexperten ist das keine Überraschung: Zero-Click-Exploits, die Spyware wie Pegasus installieren können – allein durch einen nicht beantworteten WhatsApp-Anruf –, sind auf dem Schwarzmarkt extrem begehrt. Ihre Effektivität und Heimlichkeit machen sie zu begehrten Werkzeugen für Cyberkriminelle und staatlich gesteuerte Akteure.

Ein Muster hochriskanter Schwachstellen

Diese jüngsten Vorfälle reihen sich ein in eine beunruhigende Serie. Bereits früher in 2025 musste WhatsApp andere gravierende Lücken schließen:

• CVE-2025-30401: Eine Spoofing-Schwachstelle in der Windows-Desktop-App ermöglichte es Angreifern, ausführbare Schad-Dateien als harmlose Bilder oder Dokumente zu tarnen.
• Im August 2025 wurde ein Zero-Click-Exploit bei Link-Vorschauen auf iOS und macOS gepatcht.

Die ständige Entdeckung solch kritischer Fehler verdeutlicht die immense Herausforderung, eine Plattform mit Milliarden Nutzern zu schützen. Was macht das mit dem Vertrauen in den weltweit beliebtesten Messenger?

Was das für Nutzer bedeutet

Das Offenlegen von 3,5 Milliarden Telefonnummern – selbst wenn nicht kriminell ausgenutzt – stellt ein massives Versagen beim Datenschutz dar. Eine solche Datenbank wäre Gold wert für großangelegte Phishing-, Smishing- (SMS-Phishing) und Social-Engineering-Kampagnen.

Noch beunruhigender: Die aktive Ausnutzung der Zero-Click-Lücke zeigt, dass WhatsApps Ende-zu-Ende-Verschlüsselung zwar mächtig ist, aber nichts nützt, wenn die App selbst kompromittiert wird. Ist die Anwendung gehackt, wird die Verschlüsselung bedeutungslos.

Das können Nutzer jetzt tun

WhatsApp drängt alle Nutzer eindringlich, ihre App auf die neueste Version zu aktualisieren. Die Patches für die Zero-Click-Schwachstelle betreffen:

• WhatsApp für iOS (Versionen vor v2.25.21.73)
• WhatsApp Business für iOS (vor v2.25.21.78)
• WhatsApp für Mac (vor v2.25.21.78)

Dringende Empfehlungen für alle Nutzer:

• Sofort aktualisieren: App und Betriebssystem müssen auf dem neuesten Stand sein.
• Automatische Updates aktivieren: Das minimiert die Zeitspanne, in der Angreifer bekannte Lücken ausnutzen können.
• Vorsicht bei Anhängen: Selbst mit Updates sollte man bei unerwarteten Dateien skeptisch bleiben – auch von bekannten Kontakten.
• Ungewöhnliches Verhalten beobachten: Verhält sich das Gerät seltsam, könnte es kompromittiert sein.

WhatsApp testet derzeit einen neuen „strengen Sicherheitsmodus”, der automatisch alle Datenschutzoptionen auf maximale Sicherheit konfiguriert – etwa das Blockieren von Medien unbekannter Kontakte und die Aktivierung der Zwei-Schritt-Verifizierung.

Doch bei allen zukunftsgerichteten Features bleibt die bittere Erkenntnis: Die jüngsten Enthüllungen zeigen, dass Wachsamkeit und zeitnahe Updates die wichtigsten Verteidigungslinien für Nutzer jeder Kommunikationsplattform sind. Vertrauen ist gut – aber können sich 3,5 Milliarden Nutzer noch auf Meta verlassen?

PS: Diese 5 Maßnahmen machen Ihr Smartphone spürbar sicherer – besonders nach einem massiven Datenleck. Der Gratis-Report zeigt, welche Einstellungen Sie sofort ändern sollten, wie Sie automatische Updates aktivieren, welche App-Berechtigungen Sie prüfen müssen und wie Sie Phishing‑Versuche erkennen. Holen Sie sich die leicht verständliche Schritt‑für‑Schritt‑Anleitung und Checkliste. Gratis-Sicherheitspaket für Android herunterladen