WhatsApp-API missbraucht: Studie zeigt, wie einfach Metas Daten in großem Stil abgegriffen werden konnten
Sicherheitsforscher der Universität Wien und von SBA Research haben eine beunruhigende Demonstration der Möglichkeiten zur Datenerfassung bei WhatsApp geliefert. Dem Team gelang es durch die Contact-Discovery-Funktion des Messengers, alle 3,5 Milliarden Nutzer zu demaskieren. Diese Funktion dient eigentlich dazu, Kontakte aus dem eigenen Adressbuch zu überprüfen.
Die Forscher machten sich eine – mittlerweile geschlossene – massive Sicherheitslücke zueigen. Sie erkannten, dass die Schnittstelle keine ausreichenden Ratenbegrenzungen bei der Abfrage enthielt. Theoretisch war es so möglich, 100 Millionen Telefonnummern pro Stunde auf ihre Existenz hin zu überprüfen. Untersucht wurden einfach komplette Rufnummernbereiche. Auf Github wurde die Studie letztlich veröffentlicht. Weitere Ergebnisse und detaillierte Analysen werden die Wissenschaftler auf dem Network and Distributed System Security (NDSS) Symposium vorstellen, das vom 23. bis 27. Februar 2026 in San Diego stattfindet.
Eine enorme Datenbank mit etwa 3,5 Milliarden aktiven WhatsApp-Konten auf der ganzen Welt ist das Resultat dieser Studie. Es ging dabei nicht nur darum, die Telefonnummern zu bestätigen. Die WhatsApp-API lieferte öffentlich zugängliche Metadaten, sobald eine Nummer als registriert erkannt wurde. Dazu gehörten Profilbilder, Status-Texte sowie Informationen darüber, wann ein Nutzer zuletzt online war. Auch technische Details konnten abgeleitet werden, etwa die Verteilung der Betriebssysteme. Die Daten zeigen, dass weltweit etwa 81 Prozent der Nutzer Android verwenden, während iOS auf einen Anteil von rund 19 Prozent kommt.
Auch einen Abgleich mit dem großen Facebook-Leak aus dem Jahr 2021 führten die Forscher durch. 58 % der damals geleakten Nummern sind heute noch aktiv. Das verdeutlicht, wie wertvoll solche riesigen Datensätze auch nach Jahren noch sein können.
Selbst in Ländern mit strikter Internetzensur und WhatsApp-Sperren konnten Millionen aktiver Nutzer identifiziert werden. 2.333.519 Accounts mit chinesischer Nummer konnte man identifizieren. Selbst in Nordkorea waren immerhin fünf Rufnummern mit einem WhatsApp-Konto verbunden.
Meta wurde über die Schwachstelle informiert und hat mittlerweile reagiert. Die Lücke wurde durch die Einführung strenger Ratenbegrenzungen geschlossen, sodass massenhafte Abfragen in dieser Geschwindigkeit nicht mehr möglich sein sollten. Zwar erklärte das Unternehmen, es gebe keine Beweise für einen Missbrauch der Lücke durch Dritte, doch eine lückenlose Überprüfung solcher API-Zugriffe in der Vergangenheit ist technisch kaum machbar. Die Methode an sich ist in Sicherheitskreisen bekannt, weshalb eine frühere, unbemerkte Nutzung durch andere Akteure zumindest im Bereich des Möglichen liegt.
Darüber hinaus liefert ein technisches Detail Einblicke in die Schattenwelt von WhatsApp. Im regulären Betrieb generiert jede Installation der App ein einzigartiges kryptografisches Schlüsselpaar, das die Basis für die Ende-zu-Ende-Verschlüsselung bildet und die Identität des Geräts sicherstellt. Die Forscher entdeckten jedoch Cluster von Telefonnummern, die denselben öffentlichen Schlüssel verwendeten, was bei einer Nutzung der offiziellen App auf physischen Geräten technisch nicht möglich sein sollte. Diese Wiederverwendung von Schlüsseln deutet stark auf den Einsatz von inoffizieller Software hin. Solche Werkzeuge werden häufig in sogenannten Klickfarmen oder für Marketing-Bots eingesetzt, wobei die Betreiber offenbar aus Effizienzgründen oder durch fehlerhafte Implementierung identische Sicherheitsidentitäten auf viele verschiedene Accounts kopieren. Dies entlarvt nicht nur die Fake-Accounts, sondern zeigt auch, dass diese inoffiziellen Clients die Sicherheitsarchitektur des Messengers massiv untergraben können.
