Sicherheitslücke in WhatsApp und Signal ermöglicht Tracking mit Low-Skill-Angriff

Tracking von WhatsApp (Symbolbild erstellt mit Stable Diffusion)

Forscher der Universität Wien haben Schwachstellen in WhatsApp und Signal aufgedeckt, mit denen sich Nutzer über subtile RTT-Messungen unbemerkt tracken lassen. Ein simples Programm auf Github ermöglicht deren Ausnutzung.

Marc Herter, Veröffentlicht am 10.12.2025

Ein Team von Forschern der Universität Wien hat eine subtile, aber potenziell weitreichende Schwachstelle in der Funktionsweise verschiedener Messaging-Dienste aufgedeckt. Die Studie, erstmals veröffentlicht am 17. November 2024 unter dem Titel „Careless Whisper: Exploiting Silent Delivery Receipts to Monitor Users on Mobile Instant Messengers“, beleuchtet die Möglichkeit, Geräte mithilfe von Round-Trip Time (RTT) Daten zu tracken, wenn dort WhatsApp oder Signal installiert sind.

Auf GitHub wurde nun ein Programm veröffentlicht, das die Schwachstelle in WhatsApp automatisch ausnutzen kann. Obwohl die Bereitstellung eines solchen Tools ethisch fragwürdig ist, soll es den Druck auf WhatsApp erhöhen, die Sicherheitslücke zu schließen und so die Privatsphäre der Nutzer besser zu schützen.

Das Prinzip dahinter ist simpel. Der Tracker sendet eine Reaktion auf eine Nachricht, die gar nicht existiert. Das Zielgerät reagiert dennoch mit einem Empfangsbeleg. Diese Reaktion, die für den Nutzer unsichtbar bleibt, offenbart die Zeit, die das Senden und Empfangen der manipulierten Anfrage benötigt – die RTT.

Obwohl diese Daten allein keinen direkten Standort preisgeben, können sie über einen längeren Zeitraum wertvolle Informationen liefern. Muster in der RTT verraten, wann ein Gerät aktiv genutzt wird oder sich im Standby befindet. Auch die Art der Netzwerkverbindung – ob WLAN oder Mobilfunk – lässt sich potenziell ableiten. Durch die Analyse dieser Aktivitätsmuster über Stunden oder Tage können Angreifer Rückschlüsse auf das Nutzungsverhalten ziehen. Zudem bedeuten die ständigen Anfragen auch, dass Akku und Datenvolumen des betroffenen Smartphones leer gesaugt werden.

Betroffene Nutzer haben derzeit kaum Möglichkeiten, sich gegen dieses Tracking zu wehren. Es gibt keine Benachrichtigungen auf dem Smartphone, die auf eine solche Überwachung hinweisen, und das Blockieren der angreifenden Telefonnummer ist ebenfalls nicht möglich. Signal und WhatsApp bieten aktuell keine Option zur Deaktivierung von Empfangsbestätigungen an. Die einzige radikale Lösung wäre derzeit die vollständige Deinstallation aller betroffenen E2EE-Messaging-Dienste.

Quelle(n)

Device Activity Tracker von gommzystudio auf GitHub

Careless Whisper: Exploiting Silent Delivery Receipts to Monitor Users on Mobile Instant Messengers via Arxiv

Verwandte Artikel

Loading Comments

Diesen Artikel kommentieren / Antworten

Realme 16 Pro zeigt sich auf Teaser...

Oberklasse zum moderaten Preis: HP ...

Marc Herter - Managing Editor Consumer Laptops - 437 Artikel auf Notebookcheck veröffentlicht seit 2021

Schon von frühster Kindheit an habe ich gerne alle möglichen Geräte genaustens auf ihre Funktionsweise untersucht. Dabei wurden auch einige Geräte aufgeschraubt. Das war nicht immer zur Freude meiner Eltern. Durch die Unterstützung meines Großvaters wurde ich trotzdem zum Computer- und Elektronikschrauber. Mit dem Familien-PC und Lego Mindstorms begann früh mein Interesse an Software und Programmierung. Heute bin ich Student in einem Ingenieursstudiengang, baue gerne alle möglichen Gadgets mit Arduino und 3D-Druckern und prüfe immer noch Elektronik auf Herz und Nieren. Durch meinem Einstieg in der Notebookcheck-Redaktion wurde dieses Hobby zum Beruf.

Kontakt: Facebook, marc_i_may

Teilen Sie diesen Artikel, um uns zu unterstützen. Jeder Link hilft!

> Notebook Test, Laptop Test und News > News > Newsarchiv > News 2025-12 > Sicherheitslücke in WhatsApp und Signal ermöglicht Tracking mit Low-Skill-Angriff

Autor: Marc Herter, 10.12.2025 (Update: 10.12.2025)