WhatsApp schließt kritische Sicherheitslücke im Kontaktsystem

Meta reagiert auf massive Datenschutz-Schwachstelle. Forscher konnten theoretisch 3,5 Milliarden Telefonnummern abgreifen – der Messenger rüstet jetzt nach.

Eine turbulente Woche für WhatsApp: Während Sicherheitsforscher der Universität Wien eine gravierende Schwachstelle im Kontakt-Erkennungssystem offenlegten, rollte der Facebook-Mutterkonzern Meta zeitgleich neue Gruppen-Features und Betrugsschutzmaßnahmen aus. Die zwischen dem 19. und 22. November bestätigten Updates markieren einen Wendepunkt in der Frage, wie der Messenger-Gigant die Balance zwischen Nutzerfreundlichkeit und Datenschutz meistert.

Die brisanteste Enthüllung der Woche betrifft das Herzstück von WhatsApp: das System, mit dem die App prüft, welche Kontakte den Dienst nutzen. Wie das Wiener Forschungsteam nachwies, fehlten bis vor Kurzem ausreichende Schutzmaßnahmen gegen automatisierte Massenabfragen. Die Konsequenz? Angreifer hätten theoretisch bis zu 100 Millionen Telefonnummern pro Stunde durchprüfen können.

Das Ausmaß ist erschreckend: Die Wissenschaftler identifizierten rund 3,5 Milliarden aktive Nummern auf der Plattform. Zwar blieben die verschlüsselten Nachrichten selbst unangetastet – doch die Metadaten waren schutzlos. Wer ist auf WhatsApp? Mit welchem Profilbild? Welcher Status-Text? All diese Informationen ließen sich im großen Stil abgreifen und mit öffentlich verfügbaren Datensätzen verknüpfen.

Sorgen Sie sich um Ihre Privatsphäre nach den jüngsten WhatsApp-Enthüllungen? Wenn Telefonnummern und Profilinfos so leicht strukturiert abgefragt werden können, empfiehlt sich ein Blick auf sichere Alternativen. Das kostenlose Telegram-Startpaket erklärt in einem klaren PDF-Schritt-für-Schritt, wie Sie Telegram einrichten, Ihre Nummer verbergen und geheime Chats nutzen – ideal für alle, die ihre Metadaten schützen möchten. Jetzt kostenlosen Telegram-Report anfordern

Meta bestätigte die Schwachstelle umgehend und versicherte, bereits Anti-Scraping-Systeme und strikte Ratenbegrenzungen implementiert zu haben. Die Botschaft: Private Chats blieben sicher, die Forscher löschten alle gesammelten Daten vorbildlich. Doch die Frage bleibt – wie viele andere haben diese Lücke bereits ausgenutzt, bevor sie geschlossen wurde?

Neue Gruppen-Features: Rollen-Tags und Status-Updates

Abseits der Schadensbegrenzung arbeitet WhatsApp aktiv an der Verbesserung der Nutzer-Erfahrung. Seit dem 22. November testet die Beta-Version eine Funktion namens „Gruppenmitglieds-Tags”. Nutzer können sich damit kontextbezogene Rollen zuweisen – etwa „Trainer” in der Sportgruppe oder „Projektleiter” im Team-Chat.

Der Clou: Die Tags gelten nur für die jeweilige Gruppe. Dieselbe Person kann in verschiedenen Chats unterschiedliche Bezeichnungen tragen, ohne ihren globalen Profilnamen ändern zu müssen. Gerade in großen Community-Chats, wo nicht alle Teilnehmer ihre Nummern gespeichert haben, soll das für Klarheit sorgen.

Parallel dazu erhielt die „Info”-Funktion ein Redesign im Stil von Instagram Notes. Statt starrer Bio-Texte können User jetzt kurze, temporäre Status-Updates setzen – „Im Meeting” oder „Auf Reisen” –, die prominent in der Chat-Übersicht erscheinen. Das Ziel? Erwartungen managen und nervige Nachfragen reduzieren.

Betrugsbekämpfung: Warnungen beim Bildschirmteilen

Besonders raffiniert gehen Betrüger inzwischen bei Videoanrufen vor: Sie bringen Opfer dazu, ihren Bildschirm zu teilen, um dann in Echtzeit Einmalpasswörter oder Banking-Daten abzufilmen. WhatsApp schiebt dem jetzt einen Riegel vor.

Seit dieser Woche erscheint eine deutliche Warnung, sobald jemand versucht, seinen Screen mit einem unbekannten Kontakt zu teilen. Diese bewusste „Reibung” soll die von Kriminellen erzeugte künstliche Dringlichkeit durchbrechen – und dem Nutzer einen Moment zum Nachdenken verschaffen.

Eine weitere Neuerung kommt iPhone-Besitzern zugute: Die native Mehrkonten-Unterstützung, bislang Android-Nutzern vorbehalten, erlaubt nun das Jonglieren zwischen zwei Accounts – etwa privat und geschäftlich – auf einem Gerät. Sicherheitsexperten sehen darin einen wichtigen Schutz gegen CEO-Betrug und versehentliches Vermischen sensibler Daten.

Die Telefonnummer als Schwachstelle

Die Ereignisse der vergangenen Tage offenbaren ein Grunddilemma: Solange WhatsApp Telefonnummern als primäre Kennung nutzt, bleiben Metadaten angreifbar. „Die schiere Größenordnung von 3,5 Milliarden potenziell exponierten Nummern erzwingt ein Umdenken”, analysiert ein Cybersecurity-Experte. „Meta muss Kontaktabfragen künftig mit derselben Sicherheitsstufe behandeln wie Login-Versuche.”

Brancheninsider erwarten deshalb, dass Nutzernamen-basierte Anrufe zur nächsten großen Innovation werden. Erste Berichte aus dem November deuten darauf hin, dass Meta an einem System arbeitet, bei dem User ohne Telefonnummern-Austausch kommunizieren können. Das würde die Art von Enumerationsangriffen, die Wien aufdeckte, von Grund auf unmöglich machen.

Was Nutzer jetzt tun sollten

Bis die Nutzernamen-Ära anbricht, gilt: App aktuell halten. Die neuesten Updates enthalten die verschärften Anti-Scraping-Mechanismen. Und Vorsicht bei Videoanrufen von Unbekannten – insbesondere, wenn diese zum Bildschirmteilen drängen.

WhatsApp mag verschlüsselt sein, doch die jüngsten Enthüllungen zeigen: Auch wer kommuniziert, ist eine schützenswerte Information. Meta hat reagiert – bleibt zu hoffen, dass die Patches nicht zu spät kamen.

PS: Sie denken darüber nach, WhatsApp aus Datenschutzgründen zu verlassen? Unser kostenloser Telegram-Umstiegsratgeber führt Sie Schritt für Schritt durch die wichtigsten Einstellungen – vom Verbergen der eigenen Nummer bis zu geheimen, verschlüsselten Chats – und zeigt, wie der Wechsel in wenigen Minuten gelingt. Ideal für alle, die ihre Metadaten sofort besser schützen möchten. Telegram-Umstiegsratgeber gratis downloaden