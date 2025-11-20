Wiener Forschende entdeckten eine Sicherheitslücke in WhatsApp, mit der sie 3,5 Milliarden Konten weltweit auslesen konnten. Fabian Sommer/dpa

Wiener Forschende entdeckten eine WhatsApp-Sicherheitslücke, mit der sich in kurzer Zeit Milliarden Telefonnummern auslesen lassen. Auch Schweizer Nutzer*innen sind betroffen.

Wiener Forschende entdeckten eine Sicherheitslücke in WhatsApp, mit der sie 3,5 Milliarden Konten weltweit auslesen konnten.

Dabei erhielten sie neben Telefonnummern auch sensible Metadaten wie Profilbilder und Statusinformationen.

Trotz mehrfacher Warnungen reagierte Meta erst spät und hat inzwischen Schutzmaßnahmen eingeführt.

Man öffnet WhatsApp, gibt eine unbekannte Nummer ein und sieht dann das Profilbild der Person. Genau diese Funktion hat eine Schwachstelle: Sie liess sich beliebig oft ausführen. Das machten sich Wiener Forschende zunutze – und konnten so innerhalb einer Stunde mehr als 100 Millionen Telefonnummern auslesen, ohne dass WhatsApp den Zugriff stoppte.

Das Resultat: Die Forschenden identifizierten alle 3,5 Milliarden aktiven WhatsApp-Konten weltweit, darunter auch 8,4 Millionen aus der Schweiz. Selbst das sonst eher zurückhaltende Fachmagazin «Heise» spricht vom «grössten Datenabfluss der Geschichte».

Sie erhielten jedoch nicht nur Telefonnummern, sondern auch politische Einstellungen, religiöse Bekenntnisse, Links zu Dating-Profilen und sogar E-Mail-Adresse von Regierungsmitarbeitern – zumindest wenn man sein Profilfoto und Status öffentlich eingestellt hat.

Bei nordamerikanischen Nummern luden die Wissenschaftler 77 Millionen Profilfotos herunter, was insgesamt 3,8 Terabyte Bildmaterial entspricht. Eine Gesichtserkennungssoftware entdeckte in zwei Dritteln der Bilder menschliche Gesichter. So entstünde ein Suchsystem, bei dem man entweder ein Foto eingibt, um eine Telefonnummer zu erhalten, oder umgekehrt, wie «Heise» berichtet.

Das solltest du jetzt tun Schütze dein Konto: Aktiviere umgehend die Zwei-Faktor-Authentifizierung (2FA). Das ist dein wichtigster Schutz, da Kriminelle so zusätzlich eine PIN benötigen, um dein Konto zu übernehmen.

Schränke die Sichtbarkeit ein: Stelle deine Privatsphäre so ein, dass dein Profilbild, der «Zuletzt gesehen»-Status und die «Info» idealerweise nur deinen Kontakten oder niemandem angezeigt werden.

Sei wachsam: Sei vorsichtig bei Nachrichten von fremden Nummern, klicke nie auf Links aus unerwarteten Quellen und halte WhatsApp sowie dein Handy immer auf dem neuesten Stand. Mehr anzeigen

Betrugsnetzwerke wurden sichtbar

Doch was, wenn man in solch einer Liste auftaucht? Man könnte Ziel von Spam-Anrufen, Phishing-Versuchen oder Betrugsmaschen werden – denn Kriminelle wissen, dass diese Nummern aktiv sind.

Besonders brisant ist, dass die Forscher 2,3 Millionen aktive WhatsApp-Konten in China entdeckten, obwohl die App dort verboten ist. Auch in Myanmar fanden sie 1,6 Millionen aktive Konten. Für diese Nutzer kann es lebensgefährlich sein, wenn die Behörden von der illegalen Nutzung erfahren.

Dabei wurden auch mögliche Betrugsnetzwerke sichtbar. In Myanmar und Nigeria fanden die Forschenden WhatsApp-Konten mit identischen Sicherheitsschlüsseln, was darauf hindeutet, dass mehrere Personen dasselbe Profil nutzen und damit kontinuierlich potenzielle Opfer kontaktieren.

Zudem zeigen die Daten: Weltweit verwenden rund 81 Prozent der WhatsApp-Nutzenden Android. In der Schweiz hingegen nur 43 Prozent – iOS ist hier deutlich beliebter als in anderen Ländern.

Meta reagierte erst viel später

Ein Jahr lang passierte zunächst nichts. Obwohl die Forschenden Meta ab September 2024 mehrfach auf das Problem hinwiesen, reagierte das Unternehmen kaum: Hinweise wurden als «Duplikat» abgeschlossen oder als «nicht anwendbar» bewertet. Erst die Ankündigung einer Veröffentlichung sorgte für Bewegung.

«Wir danken den Forschern der Universität Wien für ihre verantwortungsvolle Partnerschaft», sagt inzwischen WhatsApp-Manager Nitin Gupta. Durch die Zusammenarbeit sei eine Methode identifiziert worden, mit der sich Millionen Telefonnummern automatisiert abfragen liessen. Es gebe jedoch keine Anhaltspunkte dafür, dass diese Schwachstelle bereits von Kriminellen ausgenutzt worden sei. Mittlerweile habe man zusätzliche Schutzmechanismen eingeführt.

WhatsApp-Chats waren nicht betroffen

Die Forscherinnen und Forscher aus Wien geben den Nutzenden dennoch eine klare Empfehlung: Sie sollten prüfen, welche persönlichen Informationen über ihr Profilfoto und ihren Statustext sichtbar sind – und diese Angaben nach Möglichkeit nur für gespeicherte Kontakte freigeben.

Wichtig ist: Die WhatsApp-Chats selbst waren zu keinem Zeitpunkt gefährdet. Der Messenger verschlüsselt Nachrichten Ende-zu-Ende, sodass Aussenstehende nicht mitlesen können. Die begleitenden Daten – die sogenannten Metadaten – stellen jedoch ein oft unterschätztes Risiko dar. Die Studie macht deutlich: Wer genug davon sammelt, kann daraus erstaunlich viele Rückschlüsse über Nutzerinnen und Nutzer ziehen.