Datenschutz
WhatsApp und Signal: Forscher decken Sicherheitslücke auf
18.12.2025 – 16:02 UhrLesedauer: 2 Min.
Wiener Forscher haben eine Schwachstelle in WhatsApp und Signal entdeckt, über die sich Nutzeraktivitäten ausspähen lassen, ohne dass Betroffene es bemerken.
Forscher der Universität Wien haben eine Schwachstelle in den Messengern WhatsApp und Signal dokumentiert. Durch die Analyse von Zustellbestätigungen lassen sich Nutzer unbemerkt beobachten.
Die Schwachstelle nutzt automatische Empfangsbestätigungen, die Messenger versenden, wenn eine Nachricht ankommt. Wie die Forscher Gabriel K. Gegenhuber, Maximilian Günther und ihre Kollegen in ihrer Studie „Careless Whisper“ darlegen, lassen sich diese Bestätigungen auch durch speziell präparierte Nachrichten auslösen, ohne dass die Zielperson davon etwas mitbekommt.
Das Besondere an dem Angriff: Er hinterlässt keine sichtbaren Spuren auf dem Smartphone des Opfers. Keine Benachrichtigung, keine neue Nachricht in der App. Die Forscher demonstrierten, dass sich durch Messung der Antwortzeiten ermitteln lässt, wann ein Nutzer sein Gerät aktiv verwendet, wann es im Standby-Modus ist und sogar, ob gerade die Messenger-App im Vordergrund läuft.
So konnten die Wissenschaftler beispielsweise bei iPhones zwischen aktiven und inaktiven Bildschirmzuständen unterscheiden. Während Antwortzeiten von etwa einer Sekunde auf einen aktiven Bildschirm hindeuteten, verlängerten sie sich bei ausgeschaltetem Display auf rund zwei Sekunden. Daraus ließe sich ein Nutzungsprofil erstellen.
Besonders problematisch: Für WhatsApp und Signal reiche die bloße Kenntnis der Telefonnummer aus, um einen Nutzer zu überwachen. Ein vorheriger Kontakt oder eine bestehende Konversation sei nicht erforderlich. Die Forscher unterscheiden dabei zwischen zwei Angreifertypen – dem „Creepy Companion“, der bereits in Kontakt mit dem Opfer steht, und dem „Spooky Stranger“, der völlig unbekannt ist.
Die Schwachstelle ermöglicht es der Studie zufolge auch, Nutzer über mehrere Geräte hinweg zu verfolgen. Jedes angemeldete Gerät – Smartphone, Desktop-Client oder Web-Version am PC – sende eine eigene Zustellbestätigung. So lasse sich rekonstruieren, wann jemand etwa seinen Arbeitscomputer einschaltet oder zwischen Geräten wechselt.
Neben dem Ausspähen von Informationen demonstrierten die Forscher auch Angriffe auf die Ressourcen der Geräte. Durch das massenhafte Versenden großer, unsichtbarer Nachrichten ließen sich Datenvolumen und Akkulaufzeit erheblich beeinträchtigen.
Bei WhatsApp erreichten die Wissenschaftler eine Traffic-Belastung von 3,7 Megabyte pro Sekunde, was hochgerechnet 13,3 Gigabyte pro Stunde entspricht. Der Akkuverbrauch stieg bei den Testgeräten zudem auf bis zu 18 Prozent pro Stunde.
Die Universität Wien schlägt den Anbietern mehrere Gegenmaßnahmen vor: eine Einschränkung der Zustellbestätigungen auf bekannte Kontakte, das Hinzufügen von Verzögerungen bei den Bestätigungen sowie eine strengere Validierung eingehender Nachrichten. Nutzer können sich derzeit kaum schützen.
Bei WhatsApp lässt sich in den Einstellungen unter „Datenschutz“ und „Erweitert“ die Option „Nachrichten von unbekannten Konten blockieren“ aktivieren. Diese soll Nachrichten von unbekannten Absendern blockieren, „wenn sie eine bestimmte Anzahl überschreiten“, wie WhatsApp mitteilt. Konkrete Schwellenwerte nennt der Dienst jedoch nicht.
