WhatsApp: Metadaten-Lücke trotz Sicherheits-Update offen

WhatsApp-Nutzer sind weiterhin angreifbar: Ein kritisches Update von Meta verschleiert die Identität von Android-Geräten, lässt iPhone-Nutzer aber erkennbar. Das ermöglicht gezielte Spionageangriffe.

Trotz eines kürzlich eingeführten Sicherheitsupdates bleibt eine gravierende Schwachstelle in WhatsApp teilweise offen. Wie Sicherheitsforscher diese Woche aufdeckten, können Angreifer weiterhin mit hoher Genauigkeit erkennen, ob ein Nutzer ein iPhone oder ein Android-Smartphone verwendet. Diese Information ist wertvoll für die Planung gezielter Cyberangriffe.

Unvollständiger Patch lässt Nutzer im Regen stehen

Meta hatte in den letzten Wochen stillschweigend Änderungen an der Verschlüsselung von WhatsApp vorgenommen. Ziel war es, eine lang bekannte Schwachstelle zu schließen, die das „Fingerprinting“ von Geräten über Metadaten erlaubt. Konkret wurden die sogenannten „Signed Pre-Key IDs“ für Android-Geräte randomisiert. Diese Kennungen wurden zuvor in einer vorhersehbaren Reihenfolge vergeben, was die Identifizierung von Android-Handys trivial machte.

Die Analyse des Forschers Tal Be’ery von Zengo zeigt jedoch ein gemischtes Bild. Zwar sei der Schritt für Android ein Fortschritt. Doch ein anderer kritischer Parameter, die „One-Time Pre-Key ID“, bleibe anfällig. iOS-Geräte generieren diese IDs weiterhin in einem niedrigen, aufsteigenden Zahlenbereich, während Android nun einen vollständig zufälligen Spektrum nutzt. Diese Diskrepanz reicht Angreifern aus, um die Betriebssysteme zu unterscheiden.

Passend zum Thema WhatsApp-Fingerprint: Viele Android-Nutzer übersehen einfache Sicherheits-Schritte, die Angreifern die Arbeit deutlich erschweren. Das kostenlose Sicherheitspaket erklärt die 5 wichtigsten Schutzmaßnahmen für Android – mit Schritt-für-Schritt-Anleitungen zu WhatsApp‑Einstellungen, Update‑Management und App‑Prüfung, inklusive praktischer Checkliste. So reduzieren Sie die Angriffsfläche ohne teure Zusatz‑Tools; Lieferung kostenlos per E‑Mail. Gratis-Sicherheitspaket für Android jetzt anfordern

So funktioniert der digitale Fingerabdruck

Das Problem liegt in der Architektur der „Verlinkten Geräte“. Diese Funktion synchronisiert Nachrichten zwischen Smartphones, Computern und Tablets. Beim Versand einer Nachricht muss das Gerät des Senders eine sichere Sitzung mit jedem verlinkten Gerät des Empfängers aufbauen. Dabei werden kryptografische „Pre-Keys“ abgefragt.

Genau hier lauert die Lücke: Die Keys werden lokal auf dem Gerät erzeugt – und jedes Betriebssystem tut dies auf seine Weise. Ein Angreifer, der lediglich die Telefonnummer des Ziels kennt, kann eine Sitzungsanfrage initiieren und erhält diese Keys zur Analyse zurück. Die enthaltenen Metadaten verraten das Betriebssystem. Die Nachrichteninhalte bleiben zwar verschlüsselt, doch die gewonnene Information ist für gezielte Angriffe äußerst wertvoll.

Fatale Folgen für Zielpersonen

Warum ist die Kenntnis des Betriebssystems so gefährlich? Für fortgeschrittene Bedrohungsakteure, etwa staatliche Spione, ist es ein entscheidendes Puzzleteil. Hochspezialisierte Schadsoftware wie Pegasus oder Predator nutzt sogenannte Zero-Day-Exploits, die auf ein bestimmtes Betriebssystem zugeschnitten sind.

Ein für Android entwickelter Exploit schlägt bei einem iPhone fehl. Ein fehlgeschlagener Angriff kann das Opfer alarmieren und den wertvollen Exploit „verbrennen“ – dessen Entwicklung oft Millionen kostet. Die Metadaten-Lücke bei WhatsApp ermöglicht es Angreifern nun, das Betriebssystem im Voraus sicher zu identifizieren. Diese „Pre-Flight“-Aufklärung erhöht die Erfolgschance von Infektionsversuchen erheblich und minimiert das Entdeckungsrisiko.

Kritik an halbherziger Lösung

Die Entwicklung folgt auf monatelangen Druck der Sicherheitscommunity. Das Problem war bereits 2024 bekannt geworden. Metas partieller Fix Anfang 2026 wird als Schritt in die richtige Richtung, aber als unzureichend bewertet.

Datenschutzexperten kritisieren, dass die Lücke für iOS-Nutzer weiterhin besteht. Eine vollständige Lösung würde erfordern, die Schlüsselgenerierung über alle Plattformen hinweg zu standardisieren, sodass sie mathematisch nicht unterscheidbar sind. Dies könnte tiefgreifende Änderungen am Code erfordern. Meta hat keinen Zeitplan für weitere Patches bekannt gegeben.

Was Nutzer jetzt tun können

Für besonders gefährdete Personen wie Journalisten, Aktivisten oder Regierungsmitarbeiter geben Sicherheitsberater klare Empfehlungen: Sie sollten die Anzahl ihrer verlinkten Geräte in WhatsApp auf ein Minimum reduzieren. Weniger aktive Endgeräte bedeuten eine kleinere Angriffsfläche für die Metadatenerfassung.

Experten rechnen damit, dass Meta die Schlüsselgenerierung für iOS in künftigen Updates anpassen wird. Bis dahin bleibt ein Risiko bestehen. Das Katz-und-Maus-Spiel zwischen Plattformbetreibern und Forschern dürfte 2026 zu strengeren Branchenstandards für den Metadatenschutz in Ende-zu-Ende-verschlüsselten Systemen führen.

PS: Wenn Sie verhindern wollen, dass Metadaten Ihr Gerät verraten, hilft ein konkreter Schutzplan. Das Android‑Sicherheits‑Paket zeigt kompakt, wie Sie verlinkte Geräte prüfen, Pre‑Key‑Risiken vermindern und WhatsApp so konfigurieren, dass Fingerprinting deutlich erschwert wird. Enthalten sind leicht umsetzbare Checklisten und klare Schritt‑für‑Schritt‑Anweisungen – gratis per E‑Mail. Jetzt Android-Schutzpaket herunterladen