Alle WhatsApp-User betroffen: Wiener decken massive Sicherheitslücke auf

Noch bevor man auf WhatsApp eine Person erstmals anschreibt, ist es möglich, deren Profilfoto und Kurzbeschreibung zu sehen. Dafür muss man nur einen neuen Chat starten und die Telefonnummer dieser Person eingeben. 

Genau in diesem Mechanismus hat eine Forschungsgruppe der Universität Wien und von SBA Research eine massive Sicherheitslücke entdeckt, von der alle 3,5 Milliarden WhatsApp-Nutzer weltweit betroffen waren.

➤ Mehr lesen: Diese WhatsApp-Funktion solltet ihr unbedingt aktivieren

Alle Telefonnummern zugänglich

So war es möglich, eine unbegrenzte Anzahl so genannter Contact-Discovery-Anfragen an die Server von WhatsApp zu senden. Auf diese Weise konnten pro Stunde mehr als 100 Millionen Telefonnummern abgefragt werden. 

Nach einiger Zeit hatte die Forschungsgruppe alle 3,5 Milliarden aktive WhatsApp-Nutzerinnen und -Nutzer aus 245 Ländern bestätigen können, heißt es in einer Aussendung der Uni Wien: "Üblicherweise sollten nicht so viele Anfragen in so kurzer Zeit und von einer Quelle bzw. von einem Server beantwortet werden."

Aus den erhobenen Daten konnten öffentliche Informationen wie Telefonnummer, öffentlicher Schlüssel, Zeitstempel gesammelt werden. Falls die Nutzerinnen oder Nutzer ihr Profilbild und About-Text öffentlich eingestellt haben, konnten auch diese über die Sicherheitslücke bezogen werden. 

➤ Mehr lesen: Wie verdient WhatsApp eigentlich Geld?

Was die Daten offenbaren

Mit den Daten aller weltweiten WhatsApp-User hat die Wiener Forschungsgruppe dann weitere Untersuchung angestellt und Metadaten extrahiert. Daraus lassen sich etwa Rückschlüsse auf das Betriebssystem, das Alter des WhatsApp-Kontos sowie die Anzahl der verbundenen Sekundärgeräte - beispielsweise WhatsApp Web - ziehen. 

Demnach konnten auch mehrere Millionen aktive WhatsApp-Konten in Ländern wie China, Iran oder Myanmar entdeckt werden, in denen der Messenger-Dienst eigentlich verboten ist. Außerdem geht aus den Daten hervor, dass 81 Prozent der weltweiten WhatsApp-User auf Android unterwegs sind, während 19 Prozent ein iPhonenutzent. 

"In einigen wenigen Fällen wurde eine Wiederverwendung von kryptografischen Schlüsseln über verschiedene Geräte oder Telefonnummern hinweg festgestellt, was auf Schwächen in inoffiziellen WhatsApp-Clients oder betrügerische Nutzung hindeutet", schreibt die Uni Wien. 

➤ Mehr lesen: Endlich da: So sieht WhatsApp auf der Apple Watch aus

Lücke ist bereits behoben

Die erhobenen Telefonnummern wurden mit einem früheren Facebook-Datenleck verglichen. 2021 sind dabei mehr als 500 Millionen Telefonnummern, verursacht durch Scraping im Jahr 2018, aufgetaucht. Fast die Hälfte der damals veröffentlichten Telefonnummern ist noch immer auf WhatsApp aktiv. Dies verdeutliche das anhaltende Risiko für kompromittierte Nummern etwa Ziel von betrügerischen Scam-Calls zu werden, schreibt die Forschungsgruppe. 

Gleichzeitig wird betont, dass die Nachrichteninhalte auf WhatsApp zu keinem Zeitpunkt von der Sicherheitslücke betroffen waren. Chat-Inhalte auf WhatsApp sind "Ende-zu-Ende-verschlüsselt" und können daher nicht von Dritten mitgelesen werden. "Diese Verschlüsselung schützt den Inhalt von Nachrichten, aber nicht unbedingt die damit verbundenen Metadaten", heißt es.

Vor Veröffentlichung der Studie wurde WhatsApp mit dem Sicherheitsdebakel konfrontiert. Mittlerweile wurde die beschriebene Lücke gestopft. Ob die Schwachstelle bereits ausgenutzt wurde, geht aus der Studie nicht hervor. Alle abgerufenen Daten wurden von der Forschungsgruppe gelöscht. Die detaillierten Ergebnisse werden 2026 beim "Network and Distributed System Security"-Symposium (NDSS) vorgestellt.