Push-Nachrichten von MacTechNews.de
Würden Sie gerne aktuelle Nachrichten aus der Apple-Welt direkt über Push-Nachrichten erhalten?

Sicherheitspanne: Alle 3,5 Milliarden WhatsApp-Nummern ließen sich abgreifen

Es gab in den letzten beiden Jahrzehnten unzählige Pannen, bei denen Abermillionen an Nutzerdaten durch erfolgreiche Systemeinbrüche entwendet werden konnten. Einige Beispiele: Sieben Millionen Accounts von Adobe (2019), 700 Millionen Datensätze von LinkedIn (2021), Millionen Nutzerdaten von Twitter (2022) – und der bisherige Rekordhalter Yahoo mit drei Milliarden entwendeten Accounts (2017). Allerdings stellt die jüngste WhatsApp-Schwachstelle all das in den Schatten, denn die Rede ist von potenziell 3,5 Milliarden abgegriffenen Telefonnummern sowie hinterlegte Accountfotos.


Einfaches Durchraten von Nummern...
Eigentlich ist es nicht korrekt, von "jüngste Panne" zu sprechen, denn Sicherheitsforscher hatten bereits im Jahr 2017 auf die Schwachstelle hingewiesen. Allerdings ignorierte Meta die Warnungen offensichtlich und implementierte keinen Schutz. Sehr einfach ließ sich nämlich die Nummernüberprüfung dazu verwenden, beliebige Zahlenfolgen durchzuraten und sich dann von WhatsApp ein "gibt es" oder "gibt es nicht" zurückgeben zu lassen.

...und WhatsApp unterstützte aktiv
Es ließ sich von den Forschern nachweisen, dass auf diese Weise tatsächlich auf simplem Wege eine Datenbank sämtlicher WhatsApp-Telefonnummern entstehen konnte. In nur 30 Minuten wurden im Versuch bereits 30 Millionen Accounts von US-Nutzern gespeichert, insgesamt brachte man es auf besagte 3,5 Milliarden.

Eine Stunde Skript, 60 Millionen Nummern
Sofern selbiger Angriff von böswilligen Akteuren erfolgt, hätte man in wenigen Tagen die vollständige Liste aller Nutzer weltweit vorliegen – das von offizieller Seite aus als gültige Nummer verifiziert. Der Forscher Aljosha Judmayer von der Universität Wien bezeichnet dies als die größte Datenpanne, welche jemals zu beobachten war. Da es so einfach und so lange bekannt war, dürfte man wohl eine Erklärung haben, warum sich derart viel Spam und Scam über WhatsApp-Nutzer ergießt.

Meta reagiert, will nichts von aktiver Ausnutzung wissen
Wie die Sicherheitsexperten angeben, habe man die gewonnene Liste natürlich vollständig gelöscht und Meta darüber in Kenntnis gesetzt. Sechs Monate sollte es dann jedoch dauern, bis das Unternehmen endlich einen Mechanismus umsetzte, der keine unbegrenzte Anzahl an Anfragen mehr erlaubte. Laut Meta war ein solches Schutzverfahren ohnehin schon in Arbeit – und man verfüge über keine Hinweise, dass es zu aktiver Ausnutzung der Schwachstelle gekommen sei.
Gurman: iOS 26.1 und weitere Updates noch heute, 26.2 steht in den Startlöchern
Gurman: iOS 26.1 und weitere Updates noch heute...
Kurz: Apple verliert CNN als News-Partner +++ iPhone Pocket ist ausverkauft, aber Imitate florieren
Kurz: Apple verliert CNN als News-Partner +++ i...
Erste Benchmarks des M5 erschienen
Erste Benchmarks des M5 erschienen
M5 Ultra in Vorbereitung
M5 Ultra in Vorbereitung
40 Jahre Windows
40 Jahre Windows
iPhone Air: Fast beispielloser Preisverfall – Zahlen vom Gebrauchtmarkt
iPhone Air: Fast beispielloser Preisverfall – Z...
OpenAI erklärt intern "Alarmstufe Rot" – akute Bedrohung
OpenAI erklärt intern "Alarmstufe Rot" – akute ...
Apples App Store Awards 2025: Die Sieger sind bekannt
Apples App Store Awards 2025: Die Sieger sind b...

Kommentare

pocoloco18.11.25 16:50
und man verfüge über keine Hinweise, dass es zu aktiver Ausnutzung der Schwachstelle gekommen sei.
Nö. Sie haben es ja auch nicht gemerkt, das 30 Minuten lang 30 Millionen Mal immer das gleiche Zugriffsmuster gelaufen ist. Wenn man die Zugriffe nicht überwacht, gibt es auch keine Erkenntnisse.
+35
Zerojojo18.11.25 16:51
Boah bin ich froh, dass böswillige Akteure doch nicht sooo fies sind. Wäre wirklich arg, wenn die Nummern abgreifen, die ganz leicht zugänglich sind.
+5
Meome18.11.25 16:51
Meta ist halt für alle Meta.
+4
verstaerker
verstaerker18.11.25 17:10
0
deus-ex
deus-ex18.11.25 17:11
Und was wird passieren? Nichts. Wie immer. Keine Strafen, keine Konsequenzen.
+17
teorema67
teorema6718.11.25 18:16
deus-ex
... Keine Strafen ...

Strafen für wen? Für die Täter? Oder gar für die Geschädigten? Meta, weil sie die Daten nicht ausreichend sichern, oder User, weil sie Meta leichtfertig Daten anvertrauen?
These days the truth is a fleeting thing It depends who you talk to (Kathleen Edwards)
-1
twix
twix18.11.25 19:46
Für etwas mehr Hintergründe und was aus den Daten ausgelesen werden kann, hier entlang:

Zitat aus dem Artikel:
Das ausgewertete Teilnehmerverzeichnis von WhatsApp muss grundsätzlich für WhatsApp-Nutzer offenstehen. Sie müssen ja wissen, wen sie über die App erreichen können. In der Regel erfolgt das über den Abgleich des Smartphone-Adressbuchs. Das erfordert aber nicht, dass sich jeder unbegrenzt am Nutzerverzeichnis bedienen können muss – doch genau das war der Fall.

So richtig ist das also keine Sicherheitslücke - mehr eine sehr schlecht gegen Missbrauch abgesicherte Funktionalität.

Beste Grüße
Peter
-1
Nebula
Nebula19.11.25 09:45
Gut, dass es meine Nummer gar nicht mehr gibt.
»Wir sind hier, um eine Delle im Universum zu hinterlassen.« – Steve Jobs
0
Legoman
Legoman19.11.25 09:48
Praktischer Nutzen der Info, ob eine Nummer WA nutzt oder nicht?
Mir will keiner einfallen.
Wer spammen, will, schickt einfach an alle Nummern von 1 bis unendlich (bzw. den plausiblen Nummernblock der jeweiligen Vorwahl). Die nicht vergebenen Nummern fallen dabei hinten runter.
Und die zugespammten Nutzer sollten Spam erkennen.

Spannender wäre doch, zu der Nummer auch noch einen Namen und weitere Daten zu erhalten.
0
pit1958ffm
pit1958ffm19.11.25 10:35
Das eigentlich dramatische ist, dass es mir in meinem vergleichsweise kleinen Bekanntenkreis nicht gelingt, die Leute dazu bewegen, "Nachrichten" oder Signal zu benutzen...
"Ja, aber die anderen haben doch alle Whatsapp..."
+7
xcomma19.11.25 10:53
pit1958ffm
ja, leider. Der Netzwerkeffekt und Bequemlichkeit (sowie Ignoranz und/oder Unkenntnis) sind extrem schwer zu überwinden.
Weil es immer noch einige im Umfeld gibt, die sturr auf WA beharren, sah ich mich mittlerweile genötigt WA zu installieren, nutze dafür aber eine 2. Nummer und halte das Adressbuch "so klein wie nötig".

Nicht nur weil Meta WA gekauft hat, sondern alleine die Tatsache, dass WA das gesamte Adressbuch zu sich kopiert war für mich damals der Hauptgrund aus WA auszusteigen.

Im übrigen - in der Praxis wenig praktikabel natürlich bzgl. Durchsetzung - steht so gut wie jeder WA Nutzer - zumindest wo es eine solche Rechtssprechung bzw. Gesetze gibt - und dazu gehört Deutschland - mit dem Gesetz in Konflikt, streng genommen. Denn beim Hochkopieren des Adressbuchs, dem man (implizit?) eingewilligt hat müssten eigentlich die Einwilligungen all derjenigen vorliegen, die im Adressbuch gelistet sind.
Nur wer macht das schon? Ich würde vermutlich nicht falsch liegen mit der Aussage, dass 0.0% der deutschen WA Nutzer sich diese von all ihren Kontakten in deren Adressbüchern eingeholt haben dafür.
+6
Nebula
Nebula19.11.25 14:06
Adressbuch impliziert, dass WA auch Adressen und mehr als nur Namen und Telefonnummern überträgt. Gibt es dafür Indizien oder ist dass so eine vielerzählte Geschichte wie das mit den acht Spinnen, die man angeblich im Leben isst? Ich nutze WA auch nur mit wenigen Kontakten und bin da auch misstrauisch, aber komplette Adressbücher mit allen Daten zu ziehen, traue ich Meta dann doch nicht zu.
»Wir sind hier, um eine Delle im Universum zu hinterlassen.« – Steve Jobs
-3
Raziel119.11.25 14:20
Legoman
Spannender wäre doch, zu der Nummer auch noch einen Namen und weitere Daten zu erhalten.

Bekommst du alles wunderbar angezeigt inklusive Bild des Betroffenen + Leitspruch wenn vorhanden. Rausfinden das WhatsApp genutzt wird bringt zusätzlich Angriffsfläche über WhatsApp selbst sowie Dienste und Kanäle bei denen WhatsApp genutzt wird
+5
xcomma19.11.25 14:21
Nebula,
auf iOS kannst du - nach meinem letzten Kenntnisstand - nicht einschränken welche Felder eine App ziehen oder nicht ziehen darf. Von daher hat WA technisch Vollzugriff auf das Adressbuch.

Spätestens seit Snowden sollte bekannt sein, dass was möglich ist, wird auch gemacht. Um Erlaubnis (oder Verzeihung) wird später ggf. gefragt. Und das sind nur die Dinge, die "man sich als Normalo" vorstellen kann.

Selbst wenn Meta behaupten würden sie würden es nicht tun, ist dem ebenfalls kein Glauben zu schenken. Dafür haben sie schon mehrfach gezeigt, dass sie gewisse Barrieren im iOS System mit (durchaus faszinierenden) Ansätzen umgehen um bestimmte Ziele zu erreichen.
+3
Nebula
Nebula19.11.25 14:48
Klar, für Meta spricht nicht viel, würde aber dennoch lieber faktenbasiert diskutieren wollen. Der Vorfall lässt jedenfalls nicht darauf schließen, dass FB alles speichert.
»Wir sind hier, um eine Delle im Universum zu hinterlassen.« – Steve Jobs
-3
Calibrator20.11.25 11:29
Ich erinnere mich noch gut daran, als Facebook bei der Einrichtung nach den Adressbuchdaten fragte.
0
System 6.0.1
System 6.0.121.11.25 12:20
Vielleicht ist die normierende Kraft des faktisch Vorhandenen der einzige Weg, dem ein Ende zu bereiten.

Also: an alle Kontakte eine Nachricht senden, dass man ab 1.1.2026 ausschließlich über Nachrichten oder Signal erreichbar ist, und dann zum Feuerwerk WhatsApp deinstallieren.

Klingt für mich vernünftig. Ich denke, das werde ich so machen.

PS: Gibt es Esoterik-freie Alternativen zu Signal oder Nachrichten? Muss auf macOS, iOS und iPadOS laufen. Besten Dank!
„A lot of times, people don't know what they want until you show it to them.“ Steve Jobs, 1998
+1
Nebula
Nebula21.11.25 22:19
Was hat denn Signal mit Esoterik zu tun? Du könntest dir Threema anschauen. Da gibt es meines Wissens eine Beta für den Mac.
»Wir sind hier, um eine Delle im Universum zu hinterlassen.« – Steve Jobs
+1

Kommentieren

Sie müssen sich einloggen, um die News kommentieren zu können.