This content is protected against AI scraping.
Österreichische Forschende (Gegenhuber, Frenzel, Günther und Ullrich) der Uni Wien hatten Einblick in das vollständige User:innenverzeichnis von WhatsApp: alle Telefonnummern und weitere Profildaten von 3,5 Mrd. WhatsApp-Nutzenden waren verfügbar. Aber die Daten waren doch geschützt, oder? Leider nein. Wenn nun in Rechnung gestellt wird, dass dies nicht nur Forschenden der Uni Wien gelungen sein könnte… Die Daten: Eine statistische Fundgrube mit zum Teil lebensgefährlichen Auswirkungen, wenn diese Daten durch autoritäre Regimes genutzt worden wären.
„WhatsApp, mit 3,5 Milliarden aktiven Konten Anfang 2025, ist die weltweit größte Instant‑Messaging‑Plattform. Angesichts seiner riesigen Nutzerbasis spielt WhatsApp eine entscheidende Rolle in der globalen Kommunikation.
Um Gespräche zu beginnen, müssen Nutzer zunächst herausfinden, ob ihre Kontakte auf der Plattform registriert sind. Dies geschieht, indem die WhatsApp‑Server mit Mobiltelefonnummern abgefragt werden, die aus dem Adressbuch des Nutzers extrahiert wurden (sofern dieser den Zugriff erlaubt hat). Diese Architektur ermöglicht grundsätzlich die Nummerenumeration, da der Dienst legitimen Nutzern erlauben muss, die Verfügbarkeit von Kontakten zu prüfen. Während Rate‑Limiting (Begrenzung der Anfragehäufigkeit) ein gängiger Schutz gegen Missbrauch ist, untersuchen wir das Problem erneut und zeigen, dass WhatsApp nach wie vor stark anfällig für großflächige Enumeration ist. In unserer Studie konnten wir über hundert Millionen Telefonnummern pro Stunde abfragen, ohne Blockierungen oder wirksame Rate‑Limits zu erleben.
Unsere Ergebnisse zeigen nicht nur die Persistenz, sondern auch die Schwere dieser Schwachstelle. Wir belegen zudem, dass fast die Hälfte der in dem Facebook‑Datenschutzleck 2021 veröffentlichten Telefonnummern weiterhin aktiv bei WhatsApp ist, was die anhaltenden Risiken solcher Datenexpositionen unterstreicht. Darüber hinaus gelang es uns, einen Zensus (Bestandsaufnahme) von WhatsApp‑Nutzern durchzuführen und damit einen Blick auf die makroskopischen Erkenntnisse zu werfen, die ein großer Messaging‑Dienst generieren kann, obwohl die eigentlichen Nachrichten End‑to‑End‑verschlüsselt sind. Mit den gesammelten Daten entdeckten wir außerdem die Wiederverwendung bestimmter X25519‑Schlüssel über verschiedene Geräte und Telefonnummern hinweg, was entweder auf unsichere (eigene) Implementierungen oder betrügerische Aktivitäten hindeutet.
In dieser aktualisierten Version des Papers geben wir zudem Einblicke in den kooperativen Remediation‑Prozess (Behebungsprozess), durch den wir bestätigt haben, dass das zugrunde liegende Rate‑Limiting‑Problem inzwischen behoben wurde.“
Übersetzung von [https://github.com/sbaresearch/whatsapp-census]
Ob Sie WhatsApp nutzen sollten? Nicht nur aus dem gerade angeführten Grund: Nein. Es gibt Alternativen. Steigen Sie gerne um auf Signal, Threema, Wire, TeleGuard etc.