Forscher der Uni Wien extrahieren 100 Mio. WhatsApp-Nummern in 60 Minuten

Published: 21. November 2025
Aktualisiert am: 27. November 2025
WhatsApp security vulnerability
Image by Cybernews

Die Sicherheit der Nachrichten ist nicht das einzige Problem bei WhatsApp. Sicherheitsforscher der Uni Wien haben jetzt aufgedeckt, wie die App zum massenhaften Sammeln von Nutzerdaten missbraucht werden kann.

Zentrale Fakten:
  • Die Kontakt-Erkennung in WhatsApp kann für massenhaftes Sammeln von Telefonnummern und Metadaten missbraucht werden.
  • Forscher extrahierten über 100 Millionen Nummern in einer Stunde, ohne wirksame Beschränkungen.
  • Abgegriffene Metadaten (Profilbild, Bio etc.) können genutzt werden, um weitere sensible Details über Nutzer zu sammeln.
  • Die Methode kann genutzt werden, um zu sehen, ob bestimmte Personen WhatsApp nutzen (z.B. Ex-Partner, Arbeitgeber, Beamte), ein Daten- und Sicherheitsrisiko.
  • Meta sagt, es werde Anti-Scraping-Systeme, Ratenbegrenzung und striktere Profil-Sichtbarkeit einführen.
Key Takeaways von nexos.ai, verifiziert von der Cybernews-Redaktion.

Forscher der Universität Wien und SBA Research fanden eine datenschutzbezogene Schwachstelle in der Kontakt-Erkennung der beliebten Messaging- und Videocall-App.

ADVERTISEMENT

Um ein neues Gespräch zu starten, müssen WhatsApp-Nutzer erst herausfinden, welche ihrer Kontakte die App ebenfalls nutzen. Die App-Server werden dann mit Mobiltelefonnummern aus der Kontaktliste des Nutzers abgefragt.

Dieses System ermöglicht, was die Forschung als „Telefonnummern-Enumeration" bezeichnet. Registrierte Nutzer können die Verfügbarkeit von Kontakten abfragen.

Mit dieser Methode extrahierten die Forscher mehr als 100 Millionen Telefonnummern in einer Stunde, „ohne auf Blockierungen oder wirksame Ratenbegrenzung zu stoßen". Während private Nachrichten Ende-zu-Ende verschlüsselt sind, können persönliche Daten also auf anderen Wegen abgegriffen werden.

whatsapp_1017
Bild: Shutterstock

Wie deine Telefonnummer gegen dich verwendet werden kann

Damit Nutzer andere Kontakte finden können, registriert WhatsApp seine Nutzer mit ihren zugehörigen Telefonnummern. Bei der Anmeldung können Nutzer WhatsApp erlauben, auf ihr Adressbuch zuzugreifen und es auf die App-Server hochzuladen.

Danach erfahren Nutzer, welche ihrer Kontakte bei der App registriert sind.

Die Funktion sollte ursprünglich das Finden von Kontakten erleichtern und die App-Nutzung fördern. Doch sie kann auch für zwielichtige Zwecke missbraucht werden, etwa um Personen auszuspionieren, zum Beispiel Ex-Partner, Arbeitgeber, Beamte, Politiker oder Prominente, um zu sehen, ob sie registriert sind und welche Infos ihr Profil enthält.

ADVERTISEMENT

Solche Informationen können genutzt werden, um Telefonnummer, Profilbild und Bio einzusehen sowie das Nutzungsverhalten der Nutzer zu analysieren.

Was harmlos erscheint, könnte laut den Forschern genutzt werden, um noch mehr Daten zu gewinnen und weitere Details über die Nutzer aufzudecken, wie das Alter des Kontos, welches Betriebssystem genutzt wird oder wie viele Geräte mit dem Konto verknüpft sind.

Was wissen wir noch über die WhatsApp-Schwachstelle?

Die extrahierten Daten zeigten, dass WhatsApp von Millionen Menschen in Ländern wie China, Iran und Myanmar genutzt wird, wo die App offiziell verboten ist. Solche Informationen könnten für diese Nutzer schwerwiegende Folgen haben.

Zudem zeigte sich, dass fast die Hälfte der Telefonnummern aus dem Facebook-Datenleck von 2021 noch immer auf WhatsApp aktiv sind. Diese Nummern sind anfällig für Betrugsanrufe und ähnliche Probleme.

Die gewonnenen Informationen enthüllten auch Einblicke in die Plattform-Nutzung. So nutzen 81% der WhatsApp-User Android, der Rest verwendet iOS-Geräte.

jurgita justinasv Izabelė Pukėnaitė vilius Ernestas Naprys Gintaras Radauskas
Füge uns zu deinen Quellen bei Google News hinzu
Jetzt folgen

Meta reagiert auf offengelegte Schwachstelle

Die Studie, deren Preprint auf GitHub verfügbar ist, enthält keine personenbezogenen Daten. Alle abgerufenen Informationen wurden vor der Veröffentlichung gelöscht. Betont wird auch, dass während der Studie keine Ende-zu-Ende-verschlüsselten Inhalte betroffen waren.

Trotzdem sollte man sich bewusst sein, dass solche Inhalte zwar sicher sind, aber auch Metadaten die Sicherheit der Nutzer massiv beeinträchtigen können.

ADVERTISEMENT

Die Resultate der Forscher wurden auch mit Meta geteilt, dem Mutterkonzern von WhatsApp. Engineering-Chef Nitin Gupta erklärte, das Unternehmen arbeite bereits an „Anti-Scraping-Systemen", berichtet Tech Explore.

Meta hat zudem Maßnahmen wie Ratenbegrenzung und strengere Profil-Sichtbarkeitseinstellungen implementiert, um die Schwachstelle zu beheben.

WhatsApp antwortete auch auf eine gesonderte Anfrage von Cybernews.

„Wir sind den Forschern der Universität Wien für ihre verantwortungsvolle Partnerschaft und Sorgfalt im Rahmen unseres Bug-Bounty-Programms dankbar. Diese Zusammenarbeit identifizierte eine neuartige Enumerations-Methode, die unsere Systeme übertraf und den Forschern ermöglichte, öffentlich verfügbare Informationen abzugreifen", so Gupta.

Er fuhr fort: „Wir arbeiteten bereits an branchenführenden Anti-Scraping-Systemen, und diese Studie war ein entscheidender Stresstest und die Bestätigung der sofortigen Wirksamkeit dieser neuen Abwehrmaßnahmen."

„Wichtig ist, dass die Forscher die im Rahmen der Studie gesammelten Daten sicher gelöscht haben, und bei uns keine Beweise für böswillige Akteure gefunden wurden, die diesen Vektor missbrauchten. Nutzernachrichten blieben dank WhatsApp standardmäßiger Ende-zu-Ende-Verschlüsselung privat und sicher, und die Forscher hatten keinen Zugriff auf nicht-öffentliche Daten."

Entdecke mehr exklusive Cybernews-Reportagen bei YouTube.

ADVERTISEMENT
Share
Post
Share
Share
Share
Deutsch English Português (BR) Español Français Niederländisch Italian (IT)
ADVERTISEMENT