SchwachstellenDatenschutzHackerangriffe

WhatsApp: Forscher deckt Datenlecks bei Metadaten auf – Nutzer sind gefährdet

WhatsApp: Forscher deckt Datenlecks bei Metadaten auf – Nutzer sind gefährdet
Zusammenfassung

# Sicherheitslücke bei WhatsApp: Angreifer können Metadaten über Nutzer ausspähen Eine bislang unterschätzte Sicherheitslücke in WhatsApp ermöglicht es Angreifern, detaillierte Metadaten über Nutzer zu sammeln — ohne deren Wissen oder Zustimmung. Der Sicherheitsforscher Tal Be'ery hat demonstriert, dass jeder mit grundlegenden technischen Kenntnissen allein anhand einer Telefonnummer herausfinden kann, wann ein Nutzer online ist, welche Geräte dieser verwendet und sogar detaillierte Informationen über dessen Online-Verhalten erfassen kann. Das Problem liegt in WhatsApps Design: Das Unternehmen erlaubt es jedem, jeden zu kontaktieren, und die Ende-zu-Ende-Verschlüsselung führt dazu, dass Geräteinformationen offengelegt werden. Für deutsche Nutzer und Unternehmen bedeutet dies ein erhebliches Risiko — von gezielten Phishing-Angriffen über Überwachung bis hin zu Angriffen durch staatliche Akteure. Während Meta bereits kleine Verbesserungen vorgenommen hat, argumentiert Be'ery, dass nur eine grundlegende Umgestaltung der Zugriffsrichtlinien — ähnlich wie bei Facebook oder LinkedIn — das Problem nachhaltig lösen kann.

Die Sicherheitslücken, die Be’ery identifiziert hat, sind tückischer als klassische Exploits, weil sie in WhatsApps Design selbst verankert sind. Mit einem speziell entwickelten Programm, das sich in das WhatsApp-Web-Protokoll einklinkt, können Angreifer eine konstante, unmerkliche Ping-Attacke durchführen. Diese erlaubt es ihnen, präzise zu bestimmen, wann ein Nutzer online ist – und damit dessen Schlaf- und Arbeitsrhythmus zu kartografieren. Diese Information ist wertvoll für Phishing-Angriffe, die gezielt zu optimalen Momenten versendet werden.

Besonders bemerkenswert ist die Möglichkeit, die Gerätetypen eines Opfers zu identifizieren. WhatsApps Flaggschiff-Sicherheitsfeature ist die End-to-End-Verschlüsselung. Jedes registrierte Gerät erhält einen eindeutigen “Fingerabdruck”, der aus privatem Schlüsselmaterial und einer Geräte-ID besteht – unterschiedlich je nach Betriebssystem. Wenn ein Sender eine neue Konversation startet, erhält er automatisch diese Informationen. Ein Angreifer kann diese Daten bereits beim bloßen Hinzufügen eines Kontakts auslesen – ohne dass das Opfer benachrichtigt wird.

Das österreichische Forschungsteam zeigte 2024 bereits, wie Silent-Messages funktionieren: Ein Angreifer kann beispielsweise Reaktionen auf nicht existierende Nachrichten versenden. Das Opfer bemerkt nichts, aber der Angreifer kann aus Lieferkwitungen und Zeitstempeln Rückschlüsse auf die Aktivität ziehen.

Die Geräte-Fingerprints mögen harmlos klingen, doch für Cyberkriminelle und Geheimdienste sind sie wertvoll. Nation-States können damit Malware gezielt auf bestimmte Betriebssysteme zuschneiden. Auch kommerziell kann die Information missbraucht werden: Unternehmen könnten Preisgestaltung basierend auf erkannten Geräten optimieren – iPhone-Nutzer zahlen mehr.

WhatsApps offene Kontaktrichtlinie ist das Kernproblem. Anders als LinkedIn oder Facebook können Nutzer Nachrichten von absolut jedem erhalten, solange die Telefonnummer bekannt ist. Meta hat bislang nicht signalisiert, diese fundamentale Design-Entscheidung zu ändern. Stattdessen werden Flickschüsse wie “Silence Unknown Callers” oder Rate-Limiting eingeführt – ein Whack-a-Mole-Ansatz, den Be’ery kritisiert.

Anfang 2025 bemerkte Be’ery, dass sein Android-Fingerprinting nicht mehr funktionierte – offenbar reagierte Meta. Bei iPhones funktioniert es noch. Be’ery argumentiert, dass ein echter Schutz nur durch Kontaktgenehmigungen wie bei anderen sozialen Netzwerken möglich wäre. Damit könnte die gesamte Angriffsfläche drastisch reduziert werden.

Ähnliche Artikel