idw – Informationsdienst Wissenschaft
Nachrichten, Termine, Experten
Nachrichten, Termine, Experten
Weltweite Erfassung von Nutzer*innen war durch – mittlerweile geschlossene – Datenschutzlücke möglich
Informatiker*innen der Universität Wien und von SBA Research haben eine große Datenschutzlücke im Contact Discovery Mechanismus von WhatsApp aufgedeckt. So konnten sie eine beispiellose Gesamtauswertung aller WhatsApp-Konten weltweit durchführen und 3,5 Milliarden Konten identifizieren In Zusammenarbeit mit den Forscher*innen hat WhatsApp das Problem inzwischen behoben. Die Studie unterstreicht die Bedeutung kontinuierlicher, unabhängiger Sicherheitsforschung zu weit verbreiteten Kommunikationsplattformen und hebt die Risiken hervor, die mit der Zentralisierung von Instant-Messaging-Diensten verbunden sind. Der Preprint der Studie ist nun erschienen und die Ergebnisse werden 2026 beim Network and Distributed System Security (NDSS) Symposium vorgestellt.
Um andere WhatsApp-Benutzer*innen anhand ihrer Telefonnummer zu finden, kann der Contact Discovery Mechanismus von WhatsApp die Telefon-Kontakte von Benutzer*innen verwenden. Die Wiener Forscher*innen, zeigten wie dieser Mechanismus missbraucht werden konnte, um mehr als 100 Millionen Telefonnummern pro Stunde abzufragen, wodurch sie schlussendlich mehr als 3,5 Milliarden aktive Konten in 245 Ländern bestätigen konnten. "Üblicherweise sollten nicht so viele Anfragen in so kurzer Zeit und von einer Quelle bzw. von einem Server beantwortet werden. Darin lag die Sicherheitslücke, denn wir konnten quasi unbegrenzte Anfragen an den Server stellen und so schließlich eine weltweite Erhebung machen", erklärt Hauptautor Gabriel Gegenhuber von der Universität Wien.
So konnten öffentliche Daten wie Telefonnummer, öffentlicher Schlüssel, Zeitstempel und, falls öffentlich eingestellt, Profilbild und About-Text gesammelt werden. Aus diesen Datenpunkten wiederum war es den IT-Security-Spezialist*innen möglich, zusätzliche Metadaten zu extrahieren, die Rückschlüsse auf das Betriebssystem von Nutzer*innen, das Alter des Kontos sowie die Anzahl der verbundenen Sekundärgeräte (z.B. WhatsApp Web) zuließen.
Weitere Ergebnisse durch Daten-Analyse
• Millionen aktiver WhatsApp-Konten wurden in Ländern identifiziert, in denen die Plattform offiziell verboten ist, darunter China, Iran und Myanmar.
• Erkenntnisse auf Bevölkerungsebene über WhatsApp-Nutzer*innen: die weltweite Verteilung von Android- (81 %) gegenüber iOS-Geräten (19 %), regionale Unterschiede im Datenschutzverhalten (z.B. die Verwendung öffentlicher Profilbilder oder About-Texte) sowie Unterschiede in der Aktivität und dem Wachstum von Konten in verschiedenen Ländern.
• In einigen wenigen Fällen wurde eine Wiederverwendung von kryptografischen Schlüsseln über verschiedene Geräte oder Telefonnummern hinweg festgestellt, was auf Schwächen in inoffiziellen WhatsApp-Clients oder betrügerische Nutzung hindeutet.
• Fast die Hälfte aller Telefonnummern, die im Facebook-Datenleck von 2021 (500 Millionen Telefonnummern, verursacht durch Scraping im Jahr 2018) auftauchten, waren weiterhin auf WhatsApp aktiv. Dies verdeutlicht das anhaltende Risiko für kompromittierte Nummern (z.B. Ziel von Scam Calls zu werden).
Die Studie umfasste keinen Zugriff auf Nachrichteninhalte, und es wurden keine personenbezogenen Daten veröffentlicht oder weitergegeben. Alle abgerufenen Daten wurden vor der Veröffentlichung von den Forscher*innen gelöscht. Nachrichteninhalte auf WhatsApp sind "Ende-zu-Ende-verschlüsselt" und waren zu keinem Zeitpunkt betroffen. "Diese Ende-zu-Ende-Verschlüsselung schützt den Inhalt von Nachrichten, aber nicht unbedingt die damit verbundenen Metadaten", erklärt der Letztautor Aljosha Judmayer von der Universität Wien. "Unsere Arbeit zeigt, dass Datenschutzrisiken auch entstehen können, wenn solche Metadaten in großem Umfang gesammelt und analysiert werden."
"Diese Ergebnisse erinnern uns daran, dass selbst ausgereifte, weithin vertrauenswürdige Systeme Design- oder Implementierungsfehler enthalten können, die reale Konsequenzen haben", sagt der Hauptautor Gabriel Gegenhuber von der Universität Wien: "Sie zeigen, dass Sicherheit und Datenschutz keine einmaligen Errungenschaften sind, sondern im Zuge der technologischen Entwicklung kontinuierlich neu bewertet werden müssen."
"Aufbauend auf unseren früheren Erkenntnissen über Zustellungsbestätigungen und Schlüsselverwaltung tragen wir zu einem langfristigen Verständnis darüber bei, wie sich Messaging-Systeme entwickeln und wo neue Risiken entstehen", ergänzt Co-Autor Maximilian Günther von der Universität Wien.
"Wir sind den Forscher*innen der Universität Wien für ihre verantwortungsvolle Partnerschaft und ihren Fleiß im Rahmen unseres Bug-Bounty-Programms dankbar. Durch diese Zusammenarbeit konnte eine neuartige Aufzählungstechnik identifiziert werden, die unsere vorgesehenen Grenzen überschritt und es den Forscher*innen ermöglichte, grundlegende öffentlich zugängliche Informationen zu scrapen. Wir hatten bereits an branchenführenden Anti-Scraping-Systemen gearbeitet, und diese Studie war entscheidend für die Belastungsprüfung und die Bestätigung der unmittelbaren Wirksamkeit dieser neuen Abwehrmaßnahmen. Wichtig ist, dass die Forscher*innen die im Rahmen der Studie gesammelten Daten sicher gelöscht haben und wir keine Hinweise darauf gefunden haben, dass böswillige Akteure diesen Vektor missbraucht haben. Zur Erinnerung: Dank der standardmäßigen End-to-End-Verschlüsselung von WhatsApp blieben die Nachrichten der Nutzer privat und sicher, und die Forscher*innen hatten keinen Zugriff auf nicht-öffentliche Daten", so Nitin Gupta, Vice President of Engineering bei WhatsApp.
Ethischer Umgang und Offenlegung
Die Forschung wurde unter strengen ethischen Richtlinien und gemäß den Prinzipien der Responsible Disclosure durchgeführt. Die Ergebnisse wurden umgehend an Meta, den Betreiber von WhatsApp, gemeldet, der seitdem Gegenmaßnahmen (z. B. Rate-Limiting, strengere Sichtbarkeit von Profilinformationen) ergriffen hat, um die festgestellte Schwachstelle zu schließen. Die Autor*innen betonen, dass Transparenz, wissenschaftliche Überprüfung und unabhängiges Testen entscheidend sind, um Vertrauen in globale Kommunikationsdienste zu erhalten. Sie heben hervor, dass eine proaktive Zusammenarbeit zwischen Forschung und Industrie den Datenschutz der Nutzer*innen erheblich verbessern und Missbrauch vorbeugen kann.
Dipl.-Ing. Gabriel Karl Gegenhuber, BSc
Forschungsgruppe Security and Privacy
Universität Wien
1090 Wien, Kolingasse 14-16
gabriel.gegenhuber@univie.ac.at
Dipl.-Ing. Dr.techn. Aljosha Judmayer, BSc
Forschungsgruppe Security and Privacy
Universität Wien
1090 Wien, Kolingasse 14-16
aljosha.judmayer@univie.ac.at
Gabriel K. Gegenhuber, Philipp É. Frenzel, Maximilian Günther, Johanna Ullrich und Aljosha Judmayer: Hey there! You are using WhatsApp: Enumerating Three Billion Accounts for Security and Privacy. In Network and Distributed System Security Symposium (NDSS), 2026.
Preprint online ab 15:00 MEZ: https://github.com/sbaresearch/whatsapp-census
https://Pressemeldung online ab 15:00 MEZ: https://www.univie.ac.at/aktuelles/press-room/pressemeldungen
Criteria of this press release:
Journalists, Scientists and scholars
Information technology, Media and communication sciences
transregional, national
Research results, Transfer of Science or Research
German
You can combine search terms with and, or and/or not, e.g. Philo not logy.
You can use brackets to separate combinations from each other, e.g. (Philo not logy) or (Psycho and logy).
Coherent groups of words will be located as complete phrases if you put them into quotation marks, e.g. “Federal Republic of Germany”.
You can also use the advanced search without entering search terms. It will then follow the criteria you have selected (e.g. country or subject area).
If you have not selected any criteria in a given category, the entire category will be searched (e.g. all subject areas or all countries).
