Um andere WhatsApp-Benutzer*innen anhand ihrer Telefonnummer zu finden, kann der Contact Discovery Mechanismus von WhatsApp die Telefon-Kontakte von Benutzer*innen verwenden. Die Wiener Forscher*innen, zeigten wie dieser Mechanismus missbraucht werden konnte, um mehr als 100 Millionen Telefonnummern pro Stunde abzufragen, wodurch sie schlussendlich mehr als 3,5 Milliarden aktive Konten in 245 Ländern bestätigen konnten. „Üblicherweise sollten nicht so viele Anfragen in so kurzer Zeit und von einer Quelle bzw. von einem Server beantwortet werden. Darin lag die Sicherheitslücke, denn wir konnten quasi unbegrenzte Anfragen an den Server stellen und so schließlich eine weltweite Erhebung machen“, erklärt Hauptautor Gabriel Gegenhuber von der Universität Wien.

So konnten öffentliche Daten wie Telefonnummer, öffentlicher Schlüssel, Zeitstempel und, falls öffentlich eingestellt, Profilbild und About-Text gesammelt werden. Aus diesen Datenpunkten wiederum war es den IT-Security-Spezialist*innen möglich, zusätzliche Metadaten zu extrahieren, die Rückschlüsse auf das Betriebssystem von Nutzer*innen, das Alter des Kontos sowie die Anzahl der verbundenen Sekundärgeräte (z.B. WhatsApp Web) zuließen.

Weitere Ergebnisse durch Daten-Analyse

  • Millionen aktiver WhatsApp-Konten wurden in Ländern identifiziert, in denen die Plattform offiziell verboten ist, darunter China, Iran und Myanmar.
  • Erkenntnisse auf Bevölkerungsebene über WhatsApp-Nutzer*innen: die weltweite Verteilung von Android- (81 %) gegenüber iOS-Geräten (19 %), regionale Unterschiede im Datenschutzverhalten (z.B. die Verwendung öffentlicher Profilbilder oder About-Texte) sowie Unterschiede in der Aktivität und dem Wachstum von Konten in verschiedenen Ländern.
  • In einigen wenigen Fällen wurde eine Wiederverwendung von kryptografischen Schlüsseln über verschiedene Geräte oder Telefonnummern hinweg festgestellt, was auf Schwächen in inoffiziellen WhatsApp-Clients oder betrügerische Nutzung hindeutet.
  • Fast die Hälfte aller Telefonnummern, die im Facebook-Datenleck von 2021 (500 Millionen Telefonnummern, verursacht durch Scraping im Jahr 2018) auftauchten, waren weiterhin auf WhatsApp aktiv. Dies verdeutlicht das anhaltende Risiko für kompromittierte Nummern (z.B. Ziel von Scam Calls zu werden).

Die Studie umfasste keinen Zugriff auf Nachrichteninhalte, und es wurden keine personenbezogenen Daten veröffentlicht oder weitergegeben. Alle abgerufenen Daten wurden vor der Veröffentlichung von den Forscher*innen gelöscht. Nachrichteninhalte auf WhatsApp sind „Ende-zu-Ende-verschlüsselt“ und waren zu keinem Zeitpunkt betroffen. „Diese Ende-zu-Ende-Verschlüsselung schützt den Inhalt von Nachrichten, aber nicht unbedingt die damit verbundenen Metadaten“, erklärt der Letztautor Aljosha Judmayer von der Universität Wien. „Unsere Arbeit zeigt, dass Datenschutzrisiken auch entstehen können, wenn solche Metadaten in großem Umfang gesammelt und analysiert werden.“

„Diese Ergebnisse erinnern uns daran, dass selbst ausgereifte, weithin vertrauenswürdige Systeme Design- oder Implementierungsfehler enthalten können, die reale Konsequenzen haben“, sagt der Hauptautor Gabriel Gegenhuber von der Universität Wien: „Sie zeigen, dass Sicherheit und Datenschutz keine einmaligen Errungenschaften sind, sondern im Zuge der technologischen Entwicklung kontinuierlich neu bewertet werden müssen.“

„Aufbauend auf unseren früheren Erkenntnissen über Zustellungsbestätigungen und Schlüsselverwaltung tragen wir zu einem langfristigen Verständnis darüber bei, wie sich Messaging-Systeme entwickeln und wo neue Risiken entstehen“, ergänzt Co-Autor Maximilian Günther von der Universität Wien.

„Wir sind den Forscher*innen der Universität Wien für ihre verantwortungsvolle Partnerschaft und ihren Fleiß im Rahmen unseres Bug-Bounty-Programms dankbar. Durch diese Zusammenarbeit konnte eine neuartige Aufzählungstechnik identifiziert werden, die unsere vorgesehenen Grenzen überschritt und es den Forscher*innen ermöglichte, grundlegende öffentlich zugängliche Informationen zu scrapen. Wir hatten bereits an branchenführenden Anti-Scraping-Systemen gearbeitet, und diese Studie war entscheidend für die Belastungsprüfung und die Bestätigung der unmittelbaren Wirksamkeit dieser neuen Abwehrmaßnahmen. Wichtig ist, dass die Forscher*innen die im Rahmen der Studie gesammelten Daten sicher gelöscht haben und wir keine Hinweise darauf gefunden haben, dass böswillige Akteure diesen Vektor missbraucht haben. Zur Erinnerung: Dank der standardmäßigen End-to-End-Verschlüsselung von WhatsApp blieben die Nachrichten der Nutzer privat und sicher, und die Forscher*innen hatten keinen Zugriff auf nicht-öffentliche Daten“, so Nitin Gupta, VP of Engineering bei WhatsApp.

Ethischer Umgang und Offenlegung

Die Forschung wurde unter strengen ethischen Richtlinien und gemäß den Prinzipien der Responsible Disclosure durchgeführt. Die Ergebnisse wurden umgehend an Meta, den Betreiber von WhatsApp, gemeldet, der seitdem Gegenmaßnahmen (z. B. Rate-Limiting, strengere Sichtbarkeit von Profilinformationen) ergriffen hat, um die festgestellte Schwachstelle zu schließen. Die Autor*innen betonen, dass Transparenz, wissenschaftliche Überprüfung und unabhängiges Testen entscheidend sind, um Vertrauen in globale Kommunikationsdienste zu erhalten. Sie heben hervor, dass eine proaktive Zusammenarbeit zwischen Forschung und Industrie den Datenschutz der Nutzer*innen erheblich verbessern und Missbrauch vorbeugen kann.

Forschungskontext

Diese Publikation ist die dritte Studie des Teams der Universität Wien und von SBA Research zur Sicherheit und Privatsphäre populärer Instant Messenger wie WhatsApp und Signal. Die Forscher*innen untersuchen, wie Design- und Implementierungsentscheidungen in Ende-zu-Ende-Verschlüsselten Messaging-Diensten unbeabsichtigt Nutzerinformationen offenlegen oder Sicherheits- und Privatsphäregarantien abschwächen können.

Anfang des Jahres veröffentlichten die Forscher*innen „Careless Whisper: Exploiting Silent Delivery Receipts to Monitor Users on Mobile Instant Messengers“ (ausgezeichnet mit dem Best Paper Award auf der RAID 2025), in der gezeigt wurde, wie Silent Pings und deren Empfangsbestätigungen missbraucht werden können, um Aktivitätsmuster und Online-Verhalten von Nutzer*innen auf WhatsApp und ähnlichen Plattformen abzuleiten. Später im selben Jahr folgte „Prekey Pogo: Investigating Security and Privacy Issues in WhatsApp’s Handshake Mechanism“ (präsentiert auf USENIX WOOT 2025), eine Analyse der kryptografischen Grundlagen des WhatsApp Prekey Distribution Mechanismus, die Implementierungsschwächen im Signal-basierten Protokoll offenbarte.

„Aufbauend auf unseren früheren Erkenntnissen zu delivery receipts und key management tragen wir zu einem langfristigen Verständnis bei, wie Messaging-Systeme sich entwickeln und wo neue Risiken entstehen“, sagt Maximilian Günther (Universität Wien).
Die aktuelle Studie „Hey there! You are using WhatsApp: Enumerating Three Billion Accounts for Security and Privacy“ erweitert diese Forschung auf globaler Ebene und zeigt, wie Contact Discovery Mechanismen unbeabsichtigt großflächige User-Enumeration in bisher unbekanntem Ausmaß ermöglichen können. Sie wird in den Proceedings des NDSS Symposium 2026, einer der führenden internationalen Konferenzen für Computer- und Netzwerksicherheit, erscheinen.

Originalpublikation:

Gabriel K. Gegenhuber, Philipp É. Frenzel, Maximilian Günther, Johanna Ullrich und Aljosha Judmayer: Hey there! You are using WhatsApp: Enumerating Three Billion Accounts for Security and Privacy. In Network and Distributed System Security Symposium (NDSS), 2026.